J'ai un petit soucis avec iptables, je souhaiterai rediriger ce qui
arrive sur le port 200 sur eth0 vers le port 100 de la même machine.
Ceci n'est pas compliqué :
Le problème est que je souhaiterai que le port 100 ne soit plus
accessible directement. Si je fais naïvement :
iptables -i eth0 -p tcp --dport 100 -j REJECT
iptables bloque tout se qui arrive sur le port 100 mais aussi ce qui
a été redirigé.
Comment faire pour changer un port de façon transparente (l'ancien port
n'est plus visible) ?
Pourquoi ? Le NAT n'est peut-être pas une solution élégante, mais elle fonctionne bien, et me convient parfaitement.
Tu fais comment pour consulter les fichiers de tes machines par sftp ?
je crois que c'est prévu dans le formulaire d'abonnement à Nerim
Ça coûte.
Indépendamment de tout ça, je viens de commander un serveur dédié chez un hébergeur. Trois adresses IP lui ont été assignées par défaut
Ça aussi, ça coûte.
Benoit Izac
Bonjour,
le 15/09/2009 à 19:37, Fabien LE a écrit dans le message :
Pourquoi ? Le NAT n'est peut-être pas une solution élégante, mais elle fonctionne bien, et me convient parfaitement.
Si je pouvais avoir autant d'adresses IP que je veux (Ce qui est d'ailleurs peut-être possible -- je crois que c'est prévu dans le formulaire d'abonnement à Nerim), ça ne m'arrangerait pas spécialement.
Les commerciaux me font bien rire, extrait de la page de Nerim :
| 1 fixe + 1 bloc de 8 IP fixes consécutives (1) et plus bas | (1) Au sein du bloc, les IP d'extrémité sont naturellement non | exploitables. Sur les 6 restantes, une est à dédier au CPE.
Tu lis 8 IP fixes et en fait il t'en reste 5. Moi, je vais vendre des /31. ;-)
D'ailleurs, au bureau, la plupart des machines sont derrière un proxy Squid, et n'ont donc pas d'accès à Internet. Leur donner une adresse IP routable aurait encore moins de sens.
Ça ne change pas grand chose, le filtrage se fait sur le routeur, c'est d'ailleurs plus clair à mon avis. Je vois un autre avantage à cela, simplifier les enregistrements DNS, je suis obligé de jouer avec les « view » de bind et je considère que c'est du bidouillage.
Le problème c'est que tout le monde est habitué au NAT et trouve ça normal. Ça fait un truc de plus qui va être compliqué avec l'IPv6, faire disparaître les mauvaises habitudes (c'est pas gagné !).
-- Benoit Izac
Bonjour,
le 15/09/2009 à 19:37, Fabien LE a écrit dans le message
<fijva55kq6ri3216ji8pcrim5bjod8s1l0@4ax.com> :
Pourquoi ? Le NAT n'est peut-être pas une solution élégante, mais elle
fonctionne bien, et me convient parfaitement.
Si je pouvais avoir autant d'adresses IP que je veux (Ce qui est
d'ailleurs peut-être possible -- je crois que c'est prévu dans le
formulaire d'abonnement à Nerim), ça ne m'arrangerait pas
spécialement.
Les commerciaux me font bien rire, extrait de la page de Nerim :
| 1 fixe + 1 bloc de 8 IP fixes consécutives (1)
et plus bas
| (1) Au sein du bloc, les IP d'extrémité sont naturellement non
| exploitables. Sur les 6 restantes, une est à dédier au CPE.
Tu lis 8 IP fixes et en fait il t'en reste 5. Moi, je vais vendre des
/31. ;-)
D'ailleurs, au bureau, la plupart des machines sont derrière un proxy
Squid, et n'ont donc pas d'accès à Internet. Leur donner une adresse
IP routable aurait encore moins de sens.
Ça ne change pas grand chose, le filtrage se fait sur le routeur, c'est
d'ailleurs plus clair à mon avis. Je vois un autre avantage à cela,
simplifier les enregistrements DNS, je suis obligé de jouer avec les
« view » de bind et je considère que c'est du bidouillage.
Le problème c'est que tout le monde est habitué au NAT et trouve ça
normal. Ça fait un truc de plus qui va être compliqué avec l'IPv6, faire
disparaître les mauvaises habitudes (c'est pas gagné !).
le 15/09/2009 à 19:37, Fabien LE a écrit dans le message :
Pourquoi ? Le NAT n'est peut-être pas une solution élégante, mais elle fonctionne bien, et me convient parfaitement.
Si je pouvais avoir autant d'adresses IP que je veux (Ce qui est d'ailleurs peut-être possible -- je crois que c'est prévu dans le formulaire d'abonnement à Nerim), ça ne m'arrangerait pas spécialement.
Les commerciaux me font bien rire, extrait de la page de Nerim :
| 1 fixe + 1 bloc de 8 IP fixes consécutives (1) et plus bas | (1) Au sein du bloc, les IP d'extrémité sont naturellement non | exploitables. Sur les 6 restantes, une est à dédier au CPE.
Tu lis 8 IP fixes et en fait il t'en reste 5. Moi, je vais vendre des /31. ;-)
D'ailleurs, au bureau, la plupart des machines sont derrière un proxy Squid, et n'ont donc pas d'accès à Internet. Leur donner une adresse IP routable aurait encore moins de sens.
Ça ne change pas grand chose, le filtrage se fait sur le routeur, c'est d'ailleurs plus clair à mon avis. Je vois un autre avantage à cela, simplifier les enregistrements DNS, je suis obligé de jouer avec les « view » de bind et je considère que c'est du bidouillage.
Le problème c'est que tout le monde est habitué au NAT et trouve ça normal. Ça fait un truc de plus qui va être compliqué avec l'IPv6, faire disparaître les mauvaises habitudes (c'est pas gagné !).
-- Benoit Izac
Fabien LE LEZ
On Tue, 15 Sep 2009 20:06:29 +0200, Benoit Izac :
D'ailleurs, au bureau, la plupart des machines sont derrière un proxy Squid, et n'ont donc pas d'accès à Internet. Leur donner une adresse IP routable aurait encore moins de sens.
Ça ne change pas grand chose, le filtrage se fait sur le routeur, c'est d'ailleurs plus clair à mon avis.
Dans le cas dont je parlais, les machines n'ont pas accès au routeur.
Le problème c'est que tout le monde est habitué au NAT et trouve ça normal.
If it ain't broke, don't fix it!
Ça fait un truc de plus qui va être compliqué avec l'IPv6, faire disparaître les mauvaises habitudes (c'est pas gagné !).
Ben oui. Le gros problème, c'est que la situation actuelle convient à plein de gens (dont je fais partie).
Passer en IPv6, c'est renoncer à une architecture qu'on connaît, pour passer à une architecture qu'on ne connaît pas, avec un modèle de sécurité différent. C'est un risque (on peut rendre un réseau vulnérable par manque de connaissances) et un investissement intellectuel. Il va donc falloir une plus grosse motivation que l'habituel "Vous allez voir, dans X années, on n'aura plus d'adresses IPv4 libres."
On Tue, 15 Sep 2009 20:06:29 +0200, Benoit Izac :
D'ailleurs, au bureau, la plupart des machines sont derrière un proxy
Squid, et n'ont donc pas d'accès à Internet. Leur donner une adresse
IP routable aurait encore moins de sens.
Ça ne change pas grand chose, le filtrage se fait sur le routeur, c'est
d'ailleurs plus clair à mon avis.
Dans le cas dont je parlais, les machines n'ont pas accès au routeur.
Le problème c'est que tout le monde est habitué au NAT et trouve ça
normal.
If it ain't broke, don't fix it!
Ça fait un truc de plus qui va être compliqué avec l'IPv6, faire
disparaître les mauvaises habitudes (c'est pas gagné !).
Ben oui. Le gros problème, c'est que la situation actuelle convient à
plein de gens (dont je fais partie).
Passer en IPv6, c'est renoncer à une architecture qu'on connaît, pour
passer à une architecture qu'on ne connaît pas, avec un modèle de
sécurité différent. C'est un risque (on peut rendre un réseau
vulnérable par manque de connaissances) et un investissement
intellectuel. Il va donc falloir une plus grosse motivation que
l'habituel "Vous allez voir, dans X années, on n'aura plus d'adresses
IPv4 libres."
D'ailleurs, au bureau, la plupart des machines sont derrière un proxy Squid, et n'ont donc pas d'accès à Internet. Leur donner une adresse IP routable aurait encore moins de sens.
Ça ne change pas grand chose, le filtrage se fait sur le routeur, c'est d'ailleurs plus clair à mon avis.
Dans le cas dont je parlais, les machines n'ont pas accès au routeur.
Le problème c'est que tout le monde est habitué au NAT et trouve ça normal.
If it ain't broke, don't fix it!
Ça fait un truc de plus qui va être compliqué avec l'IPv6, faire disparaître les mauvaises habitudes (c'est pas gagné !).
Ben oui. Le gros problème, c'est que la situation actuelle convient à plein de gens (dont je fais partie).
Passer en IPv6, c'est renoncer à une architecture qu'on connaît, pour passer à une architecture qu'on ne connaît pas, avec un modèle de sécurité différent. C'est un risque (on peut rendre un réseau vulnérable par manque de connaissances) et un investissement intellectuel. Il va donc falloir une plus grosse motivation que l'habituel "Vous allez voir, dans X années, on n'aura plus d'adresses IPv4 libres."
Fabien LE LEZ
On 15 Sep 2009 17:57:53 GMT, Nicolas George <nicolas$:
Trois adresses IP lui ont été assignées par défaut
Ça aussi, ça coûte.
Si ça coûtait tant que ça, je pense qu'ils m'auraient posé la question avant de me filer deux adresses de trop.
On 15 Sep 2009 17:57:53 GMT, Nicolas George
<nicolas$george@salle-s.org>:
Trois adresses IP lui ont été assignées par défaut
Ça aussi, ça coûte.
Si ça coûtait tant que ça, je pense qu'ils m'auraient posé la question
avant de me filer deux adresses de trop.
Si ça coûtait tant que ça, je pense qu'ils m'auraient posé la question avant de me filer deux adresses de trop.
Au contraire, ils te refilent une option payante sans demander, c'est tout bénéfice pour eux.
Fabien LE LEZ
On 15 Sep 2009 19:13:55 GMT, Nicolas George <nicolas$:
Au contraire, ils te refilent une option payante sans demander, c'est tout bénéfice pour eux.
Ce n'est pas une option. Puisque je n'avais pas été averti, ni n'ai rien demandé, j'aurais payé le même prix (fixe et annoncé sur leur site) pour une seule adresse IP.
On 15 Sep 2009 19:13:55 GMT, Nicolas George
<nicolas$george@salle-s.org>:
Au contraire, ils te refilent une option payante sans demander, c'est tout
bénéfice pour eux.
Ce n'est pas une option. Puisque je n'avais pas été averti, ni n'ai
rien demandé, j'aurais payé le même prix (fixe et annoncé sur leur
site) pour une seule adresse IP.
On 15 Sep 2009 19:13:55 GMT, Nicolas George <nicolas$:
Au contraire, ils te refilent une option payante sans demander, c'est tout bénéfice pour eux.
Ce n'est pas une option. Puisque je n'avais pas été averti, ni n'ai rien demandé, j'aurais payé le même prix (fixe et annoncé sur leur site) pour une seule adresse IP.
Pascal Hambourg
Benoit Izac a écrit :
Les commerciaux me font bien rire, extrait de la page de Nerim :
| 1 fixe + 1 bloc de 8 IP fixes consécutives (1) et plus bas | (1) Au sein du bloc, les IP d'extrémité sont naturellement non | exploitables. Sur les 6 restantes, une est à dédier au CPE.
Tu lis 8 IP fixes et en fait il t'en reste 5.
Ben ouais, et les commerciaux n'y sont pour rien. C'est comme ça en IPv4 sur un réseau à accès multiple comme ethernet. (En IPv6 il y a moins de déchet car l'adresse de broadcast dirigé n'existe pas et l'adresse de routeur peut être de type link-local, reste l'adresse anycast du préfixe.) Ceci dit rien n'empêche d'utiliser les adresses sur des liens point à point, et dans ce cas il n'y a pas de déchet.
Moi, je vais vendre des /31. ;-)
Rigole pas, j'ai un /30 et je fais comme je peux.
Le problème c'est que tout le monde est habitué au NAT et trouve ça normal. Ça fait un truc de plus qui va être compliqué avec l'IPv6, faire disparaître les mauvaises habitudes (c'est pas gagné !).
Entièrement d'accord. Habitué au NAT, au fait de ne pas avoir autant d'adresses IP publiques qu'on voudrait, à payer un prix élevé pour une ressource qui est somme toute virtuelle : ce qui coûte, c'est le préfixe (pour le routage), pas le nombre d'adresses dedans.
Benoit Izac a écrit :
Les commerciaux me font bien rire, extrait de la page de Nerim :
| 1 fixe + 1 bloc de 8 IP fixes consécutives (1)
et plus bas
| (1) Au sein du bloc, les IP d'extrémité sont naturellement non
| exploitables. Sur les 6 restantes, une est à dédier au CPE.
Tu lis 8 IP fixes et en fait il t'en reste 5.
Ben ouais, et les commerciaux n'y sont pour rien. C'est comme ça en IPv4
sur un réseau à accès multiple comme ethernet. (En IPv6 il y a moins de
déchet car l'adresse de broadcast dirigé n'existe pas et l'adresse de
routeur peut être de type link-local, reste l'adresse anycast du
préfixe.) Ceci dit rien n'empêche d'utiliser les adresses sur des liens
point à point, et dans ce cas il n'y a pas de déchet.
Moi, je vais vendre des /31. ;-)
Rigole pas, j'ai un /30 et je fais comme je peux.
Le problème c'est que tout le monde est habitué au NAT et trouve ça
normal. Ça fait un truc de plus qui va être compliqué avec l'IPv6, faire
disparaître les mauvaises habitudes (c'est pas gagné !).
Entièrement d'accord. Habitué au NAT, au fait de ne pas avoir autant
d'adresses IP publiques qu'on voudrait, à payer un prix élevé pour une
ressource qui est somme toute virtuelle : ce qui coûte, c'est le préfixe
(pour le routage), pas le nombre d'adresses dedans.
Les commerciaux me font bien rire, extrait de la page de Nerim :
| 1 fixe + 1 bloc de 8 IP fixes consécutives (1) et plus bas | (1) Au sein du bloc, les IP d'extrémité sont naturellement non | exploitables. Sur les 6 restantes, une est à dédier au CPE.
Tu lis 8 IP fixes et en fait il t'en reste 5.
Ben ouais, et les commerciaux n'y sont pour rien. C'est comme ça en IPv4 sur un réseau à accès multiple comme ethernet. (En IPv6 il y a moins de déchet car l'adresse de broadcast dirigé n'existe pas et l'adresse de routeur peut être de type link-local, reste l'adresse anycast du préfixe.) Ceci dit rien n'empêche d'utiliser les adresses sur des liens point à point, et dans ce cas il n'y a pas de déchet.
Moi, je vais vendre des /31. ;-)
Rigole pas, j'ai un /30 et je fais comme je peux.
Le problème c'est que tout le monde est habitué au NAT et trouve ça normal. Ça fait un truc de plus qui va être compliqué avec l'IPv6, faire disparaître les mauvaises habitudes (c'est pas gagné !).
Entièrement d'accord. Habitué au NAT, au fait de ne pas avoir autant d'adresses IP publiques qu'on voudrait, à payer un prix élevé pour une ressource qui est somme toute virtuelle : ce qui coûte, c'est le préfixe (pour le routage), pas le nombre d'adresses dedans.
Pascal Hambourg
Fabien LE LEZ a écrit :
Passer en IPv6, c'est renoncer à une architecture qu'on connaît, pour passer à une architecture qu'on ne connaît pas, avec un modèle de sécurité différent.
Le NAT n'est pas une sécurité. Pour le reste, IPv4 et IPv6 ne sont pas bien différents.
Il va donc falloir une plus grosse motivation que l'habituel "Vous allez voir, dans X années, on n'aura plus d'adresses IPv4 libres."
Pas besoin d'attendre jusque là, la pénurie existe déjà. C'est comme le pétrole : la pénurie existera bien avant que les réserves soient épuisées.
Fabien LE LEZ a écrit :
Passer en IPv6, c'est renoncer à une architecture qu'on connaît, pour
passer à une architecture qu'on ne connaît pas, avec un modèle de
sécurité différent.
Le NAT n'est pas une sécurité. Pour le reste, IPv4 et IPv6 ne sont pas
bien différents.
Il va donc falloir une plus grosse motivation que
l'habituel "Vous allez voir, dans X années, on n'aura plus d'adresses
IPv4 libres."
Pas besoin d'attendre jusque là, la pénurie existe déjà.
C'est comme le pétrole : la pénurie existera bien avant que les réserves
soient épuisées.
Passer en IPv6, c'est renoncer à une architecture qu'on connaît, pour passer à une architecture qu'on ne connaît pas, avec un modèle de sécurité différent.
Le NAT n'est pas une sécurité. Pour le reste, IPv4 et IPv6 ne sont pas bien différents.
Il va donc falloir une plus grosse motivation que l'habituel "Vous allez voir, dans X années, on n'aura plus d'adresses IPv4 libres."
Pas besoin d'attendre jusque là, la pénurie existe déjà. C'est comme le pétrole : la pénurie existera bien avant que les réserves soient épuisées.
Pascal Hambourg
Fabien LE LEZ a écrit :
On 15 Sep 2009 17:07:24 GMT, Nicolas George :
Dans ce cas, tu souffres déjà de la pénurie d'adresses IPv4.
Pourquoi ? Le NAT n'est peut-être pas une solution élégante, mais elle fonctionne bien, et me convient parfaitement.
Non, le NAT ne fonctionne pas toujours bien, et il m'est arrivé à plusieurs occasions qu'il ne me convienne pas. Et pas pour des trucs tordus et marginaux mais des situations aussi triviales et grand public que deux bécanes derrière la même adresse publique pour jouer à un même jeu en réseau.
Fabien LE LEZ a écrit :
On 15 Sep 2009 17:07:24 GMT, Nicolas George :
Dans ce cas, tu souffres déjà de la pénurie d'adresses IPv4.
Pourquoi ? Le NAT n'est peut-être pas une solution élégante, mais elle
fonctionne bien, et me convient parfaitement.
Non, le NAT ne fonctionne pas toujours bien, et il m'est arrivé à
plusieurs occasions qu'il ne me convienne pas. Et pas pour des trucs
tordus et marginaux mais des situations aussi triviales et grand public
que deux bécanes derrière la même adresse publique pour jouer à un même
jeu en réseau.
Dans ce cas, tu souffres déjà de la pénurie d'adresses IPv4.
Pourquoi ? Le NAT n'est peut-être pas une solution élégante, mais elle fonctionne bien, et me convient parfaitement.
Non, le NAT ne fonctionne pas toujours bien, et il m'est arrivé à plusieurs occasions qu'il ne me convienne pas. Et pas pour des trucs tordus et marginaux mais des situations aussi triviales et grand public que deux bécanes derrière la même adresse publique pour jouer à un même jeu en réseau.
Fabien LE LEZ
On Tue, 15 Sep 2009 23:27:59 +0200, Pascal Hambourg :
Tu lis 8 IP fixes et en fait il t'en reste 5.
Ben ouais, et les commerciaux n'y sont pour rien. C'est comme ça en IPv4 sur un réseau à accès multiple comme ethernet.
Pourquoi en faire un sous-réseau ? Nerim ne pourrait-il pas, comme les hébergeurs, fournir 8 (ou n'importe quel nombre) IP indépendantes ?
On Tue, 15 Sep 2009 23:27:59 +0200, Pascal Hambourg :
Tu lis 8 IP fixes et en fait il t'en reste 5.
Ben ouais, et les commerciaux n'y sont pour rien. C'est comme ça en IPv4
sur un réseau à accès multiple comme ethernet.
Pourquoi en faire un sous-réseau ? Nerim ne pourrait-il pas, comme les
hébergeurs, fournir 8 (ou n'importe quel nombre) IP indépendantes ?