J'ai un petit soucis avec iptables, je souhaiterai rediriger ce qui
arrive sur le port 200 sur eth0 vers le port 100 de la même machine.
Ceci n'est pas compliqué :
Le problème est que je souhaiterai que le port 100 ne soit plus
accessible directement. Si je fais naïvement :
iptables -i eth0 -p tcp --dport 100 -j REJECT
iptables bloque tout se qui arrive sur le port 100 mais aussi ce qui
a été redirigé.
Comment faire pour changer un port de façon transparente (l'ancien port
n'est plus visible) ?
On 19 Sep 2009 23:42:24 GMT, Nicolas George <nicolas$:
je me débrouille pour
Je pense que tout est dit dans ces quelques mots : des contorsions pour faire avec les limitations.
Tu as oublié de lire la suite.
Fabien LE LEZ
On 19 Sep 2009 17:27:09 GMT, Nicolas George <nicolas$:
Mais elle ne se fait pas vraiment sentir comme dit plus haut.
Combien as-tu de machines chez toi ? Pour combien d'IPv4 publiques ?
En fait, je crois qu'on se bat pour rien. Toi, tu as manifestement besoin d'IPv6. Pas de problème, utilise IPv6. Moi, IPv4, et un accès très limité aux machines depuis l'extérieur, ça me convient parfaitement. Donc, je reste avec IPv4.
C'est comme pour les distributions : certains ne jurent que par Mandriva, alors que d'autres préfèrent Debian. Il n'y a pas de réponse idéale qui fonctionne pour tout le monde ; chacun choisit comme il l'entend les technologies qu'il souhaite utiliser.
On 19 Sep 2009 17:27:09 GMT, Nicolas George
<nicolas$george@salle-s.org>:
Mais elle ne se fait pas vraiment sentir comme dit plus haut.
Combien as-tu de machines chez toi ? Pour combien d'IPv4 publiques ?
En fait, je crois qu'on se bat pour rien.
Toi, tu as manifestement besoin d'IPv6. Pas de problème, utilise IPv6.
Moi, IPv4, et un accès très limité aux machines depuis l'extérieur, ça
me convient parfaitement. Donc, je reste avec IPv4.
C'est comme pour les distributions : certains ne jurent que par
Mandriva, alors que d'autres préfèrent Debian. Il n'y a pas de réponse
idéale qui fonctionne pour tout le monde ; chacun choisit comme il
l'entend les technologies qu'il souhaite utiliser.
On 19 Sep 2009 17:27:09 GMT, Nicolas George <nicolas$:
Mais elle ne se fait pas vraiment sentir comme dit plus haut.
Combien as-tu de machines chez toi ? Pour combien d'IPv4 publiques ?
En fait, je crois qu'on se bat pour rien. Toi, tu as manifestement besoin d'IPv6. Pas de problème, utilise IPv6. Moi, IPv4, et un accès très limité aux machines depuis l'extérieur, ça me convient parfaitement. Donc, je reste avec IPv4.
C'est comme pour les distributions : certains ne jurent que par Mandriva, alors que d'autres préfèrent Debian. Il n'y a pas de réponse idéale qui fonctionne pour tout le monde ; chacun choisit comme il l'entend les technologies qu'il souhaite utiliser.
Nicolas George
Fabien LE LEZ wrote in message :
Tu as oublié de lire la suite.
Non, ça suffit amplement : tu « [t]e débrouille[s] pour », c'est à dire que tu t'imposes des limitations pour faire avec la pénurie. Que tu justifies a posteriori ces limitations par d'autres raisons n'est qu'anecdotique.
Fabien LE LEZ wrote in message
<5m5bb59lqk78a420889n50od36r1q59vbo@4ax.com>:
Tu as oublié de lire la suite.
Non, ça suffit amplement : tu « [t]e débrouille[s] pour », c'est à dire que
tu t'imposes des limitations pour faire avec la pénurie. Que tu justifies a
posteriori ces limitations par d'autres raisons n'est qu'anecdotique.
Non, ça suffit amplement : tu « [t]e débrouille[s] pour », c'est à dire que tu t'imposes des limitations pour faire avec la pénurie. Que tu justifies a posteriori ces limitations par d'autres raisons n'est qu'anecdotique.
Fabien LE LEZ
On 20 Sep 2009 07:30:04 GMT, Nicolas George <nicolas$:
Non, ça suffit amplement : tu « [t]e débrouille[s] pour », c'est à dire que tu t'imposes des limitations pour faire avec la pénurie.
Ben non. Si tu avais lu la suite, tu te serais aperçu qu'avoir autant d'adresses que je veux n'aurait rien changé.
Assigner une adresse IP (v4 ou v6) à une machine éteinte ne permet pas forcément d'y accéder.
On 20 Sep 2009 07:30:04 GMT, Nicolas George
<nicolas$george@salle-s.org>:
Non, ça suffit amplement : tu « [t]e débrouille[s] pour », c'est à dire que
tu t'imposes des limitations pour faire avec la pénurie.
Ben non. Si tu avais lu la suite, tu te serais aperçu qu'avoir autant
d'adresses que je veux n'aurait rien changé.
Assigner une adresse IP (v4 ou v6) à une machine éteinte ne permet pas
forcément d'y accéder.
Assigner une adresse IP (v4 ou v6) à une machine éteinte ne permet pas forcément d'y accéder.
Si la machine est éteinte en permanence, on se demande bien ce qu'elle fait là.
Si elle est allumée de temps en temps, alors il y a des moments où l'adresse publique serait utile.
Pascal Hambourg
Kevin Denis a écrit :
Le 15-09-2009, Pascal Hambourg a écrit :
Le NAT n'est pas une sécurité.
Et pourtant, il y contribue.
Pas directement. C'est l'utilisation d'adresses privés, non routées sur internet en théorie, derrière le NAT qui apporte une protection plus que le NAT lui-même. Le problème, c'est "en théorie". En pratique, cela revient à confier sa sécurité à quelqu'un d'autre, celui qui décide du routage.
Avant que les box arrivent, il y avait des millions de machines windows connectées en direct sur internet. Cafouillages, véroles, etc..
Et ce n'est plus le cas maintenant ? Je me marre.
Les mêmes mécanismes de protection du réseau local par la box seront les mêmes en IPv6
Pas les mêmes, puisqu'en l'absence de NAT ils seront basés sur du vrai filtrage à état. Mais ce n'est pas gagné : la dernière fois que j'en ai discuté dans proxad.free.*, les gens de Free n'avaient pas l'air décidé à le mettre en place dans la Freebox. Pas assez de ressources système, soi-disant.
Pour le reste, IPv4 et IPv6 ne sont pas bien différents.
Pourtant, si. IPv4 est très bien connu, je suis capable d'apprendre par coeur mon adresse IP, et roule.
Je peux apprendre par coeur mon préfixe IPv6, ce n'est pas tellement plus compliqué qu'une adresse IPv4.
IPv6, c'est un poil plus compliqué, pas mal de notions ne sont pas forcément super définies, donc IPv4 fonctionne relativement bien par rapport à IPv6. Par exemple, comment sont données les adresses IPv6? DHCPv6 ou neighbour discovery?
Il y a une différence au niveau liaison, comme l'introduction des adresses link-local, le remplacement d'ARP par un protocole ICMPv6 et le remplacement du broadcast par du multicast. Mais tout ça est transparent pour la majorité des gens comme l'est ARP pour IPv4. Le reste est vraiment similaire. On configure les adresses et les routes comme en IPv4.
En gros, si je comprends bien ce que tu veux dire, la différence c'est juste qu'IPv6 est moins connu.
Pas besoin d'attendre jusque là, la pénurie existe déjà.
Mais elle ne se fait pas vraiment sentir comme dit plus haut. Si je veux un serveur, on me donne des IPv4, pas de pb.
Elle se fait sentir pour les clients comme moi qui sont obligés d'utiliser du NAT lorsqu'ils ont plusieurs postes chez eux, voir le début du fil.
Kevin Denis a écrit :
Le 15-09-2009, Pascal Hambourg <boite-a-spam@plouf.fr.eu.org> a écrit :
Le NAT n'est pas une sécurité.
Et pourtant, il y contribue.
Pas directement. C'est l'utilisation d'adresses privés, non routées sur
internet en théorie, derrière le NAT qui apporte une protection plus que
le NAT lui-même. Le problème, c'est "en théorie". En pratique, cela
revient à confier sa sécurité à quelqu'un d'autre, celui qui décide du
routage.
Avant que les box arrivent, il y avait des
millions de machines windows connectées en direct sur internet.
Cafouillages, véroles, etc..
Et ce n'est plus le cas maintenant ? Je me marre.
Les mêmes mécanismes de protection du réseau local par la box seront
les mêmes en IPv6
Pas les mêmes, puisqu'en l'absence de NAT ils seront basés sur du vrai
filtrage à état. Mais ce n'est pas gagné : la dernière fois que j'en ai
discuté dans proxad.free.*, les gens de Free n'avaient pas l'air décidé
à le mettre en place dans la Freebox. Pas assez de ressources système,
soi-disant.
Pour le reste, IPv4 et IPv6 ne sont pas bien différents.
Pourtant, si. IPv4 est très bien connu, je suis capable d'apprendre par
coeur mon adresse IP, et roule.
Je peux apprendre par coeur mon préfixe IPv6, ce n'est pas tellement
plus compliqué qu'une adresse IPv4.
IPv6, c'est un poil plus compliqué, pas
mal de notions ne sont pas forcément super définies, donc IPv4 fonctionne
relativement bien par rapport à IPv6. Par exemple, comment sont données
les adresses IPv6? DHCPv6 ou neighbour discovery?
Il y a une différence au niveau liaison, comme l'introduction des
adresses link-local, le remplacement d'ARP par un protocole ICMPv6 et le
remplacement du broadcast par du multicast. Mais tout ça est transparent
pour la majorité des gens comme l'est ARP pour IPv4. Le reste est
vraiment similaire. On configure les adresses et les routes comme en IPv4.
En gros, si je comprends bien ce que tu veux dire, la différence c'est
juste qu'IPv6 est moins connu.
Pas besoin d'attendre jusque là, la pénurie existe déjà.
Mais elle ne se fait pas vraiment sentir comme dit plus haut. Si je
veux un serveur, on me donne des IPv4, pas de pb.
Elle se fait sentir pour les clients comme moi qui sont obligés
d'utiliser du NAT lorsqu'ils ont plusieurs postes chez eux, voir le
début du fil.
Pas directement. C'est l'utilisation d'adresses privés, non routées sur internet en théorie, derrière le NAT qui apporte une protection plus que le NAT lui-même. Le problème, c'est "en théorie". En pratique, cela revient à confier sa sécurité à quelqu'un d'autre, celui qui décide du routage.
Avant que les box arrivent, il y avait des millions de machines windows connectées en direct sur internet. Cafouillages, véroles, etc..
Et ce n'est plus le cas maintenant ? Je me marre.
Les mêmes mécanismes de protection du réseau local par la box seront les mêmes en IPv6
Pas les mêmes, puisqu'en l'absence de NAT ils seront basés sur du vrai filtrage à état. Mais ce n'est pas gagné : la dernière fois que j'en ai discuté dans proxad.free.*, les gens de Free n'avaient pas l'air décidé à le mettre en place dans la Freebox. Pas assez de ressources système, soi-disant.
Pour le reste, IPv4 et IPv6 ne sont pas bien différents.
Pourtant, si. IPv4 est très bien connu, je suis capable d'apprendre par coeur mon adresse IP, et roule.
Je peux apprendre par coeur mon préfixe IPv6, ce n'est pas tellement plus compliqué qu'une adresse IPv4.
IPv6, c'est un poil plus compliqué, pas mal de notions ne sont pas forcément super définies, donc IPv4 fonctionne relativement bien par rapport à IPv6. Par exemple, comment sont données les adresses IPv6? DHCPv6 ou neighbour discovery?
Il y a une différence au niveau liaison, comme l'introduction des adresses link-local, le remplacement d'ARP par un protocole ICMPv6 et le remplacement du broadcast par du multicast. Mais tout ça est transparent pour la majorité des gens comme l'est ARP pour IPv4. Le reste est vraiment similaire. On configure les adresses et les routes comme en IPv4.
En gros, si je comprends bien ce que tu veux dire, la différence c'est juste qu'IPv6 est moins connu.
Pas besoin d'attendre jusque là, la pénurie existe déjà.
Mais elle ne se fait pas vraiment sentir comme dit plus haut. Si je veux un serveur, on me donne des IPv4, pas de pb.
Elle se fait sentir pour les clients comme moi qui sont obligés d'utiliser du NAT lorsqu'ils ont plusieurs postes chez eux, voir le début du fil.
Pascal Hambourg
Fabien LE LEZ a écrit :
Toi, tu as manifestement besoin d'IPv6. Pas de problème, utilise IPv6.
Non, il n'a pas besoin d'IPv6. Il a besoin d'une adresse IP (v4 ou v6, je parie qu'il s'en tamponne comme moi) publique par machine devant communiquer à travers internet. Mais en IPv4 c'est un peu compromis (pénurie, prix, toussa).
Fabien LE LEZ a écrit :
Toi, tu as manifestement besoin d'IPv6. Pas de problème, utilise IPv6.
Non, il n'a pas besoin d'IPv6. Il a besoin d'une adresse IP (v4 ou v6,
je parie qu'il s'en tamponne comme moi) publique par machine devant
communiquer à travers internet. Mais en IPv4 c'est un peu compromis
(pénurie, prix, toussa).
Toi, tu as manifestement besoin d'IPv6. Pas de problème, utilise IPv6.
Non, il n'a pas besoin d'IPv6. Il a besoin d'une adresse IP (v4 ou v6, je parie qu'il s'en tamponne comme moi) publique par machine devant communiquer à travers internet. Mais en IPv4 c'est un peu compromis (pénurie, prix, toussa).
Kevin Denis
Le 20-09-2009, Pascal Hambourg a écrit :
Le NAT n'est pas une sécurité.
Et pourtant, il y contribue.
Pas directement. C'est l'utilisation d'adresses privés, non routées sur internet en théorie, derrière le NAT qui apporte une protection plus que le NAT lui-même.
Ok. Ce qui est la cas je pense pour toutes les liaisons ADSL personnelles.
Le problème, c'est "en théorie". En pratique, cela revient à confier sa sécurité à quelqu'un d'autre, celui qui décide du routage.
Et aujourd'hui, c'est la box.
Avant que les box arrivent, il y avait des millions de machines windows connectées en direct sur internet. Cafouillages, véroles, etc..
Et ce n'est plus le cas maintenant ? Je me marre.
Dans le temps, tu étais souvent face à un problème. 1/ installation de windows, donc maj à faire 2/ Connexion à internet pour faire les maj 3/ Infection avant même que tu aies fini la première maj
Et ça, c'était un réel problème. Dans les forums on conseillait des solutions malpratiques comme aller télécharger un firewall win depuis chez un voisin ou de mettre une machine linux en frontal sur internet.
Aujourd'hui, tu installes ton windows, tu le met derrière ta box, tu fais tes maj, et tout va bien.
Les mêmes mécanismes de protection du réseau local par la box seront les mêmes en IPv6
Pas les mêmes, puisqu'en l'absence de NAT ils seront basés sur du vrai filtrage à état.
Effectivement, c'est un abus de langage de ma part. L'idée est la même: une machine en frontal sur internet, et l'accès aux autres derrière qui ne seront autorisées qu'en sortie. Mais mettre ça en oeuvre revient à perdre l'interêt d'IPv6 qui est d'être joignable. Dès lors, si les machines sont joignables, alors elles sont des cibles d'attaques...
Mais ce n'est pas gagné : la dernière fois que j'en ai discuté dans proxad.free.*, les gens de Free n'avaient pas l'air décidé à le mettre en place dans la Freebox. Pas assez de ressources système, soi-disant.
L'information est intéressante.
En gros, si je comprends bien ce que tu veux dire, la différence c'est juste qu'IPv6 est moins connu.
Tout à fait. On trouve des articles de vulgarisation IPv4 partout sur internet. Pour IPv6, c'est moins courant.
Pas besoin d'attendre jusque là, la pénurie existe déjà.
Mais elle ne se fait pas vraiment sentir comme dit plus haut. Si je veux un serveur, on me donne des IPv4, pas de pb.
Elle se fait sentir pour les clients comme moi qui sont obligés d'utiliser du NAT lorsqu'ils ont plusieurs postes chez eux, voir le début du fil.
Oui, enfin à 30euros/mois j'ai une adresse IP, donc je me demande ou est la pénurie.. Le jour ou on ne me donnera plus d'adresse IP, seulement un seul port entrant quel que soit le prix, là j'irais m'intéresser à IPv6.
Actuellement, IPv4 c'est juste bon. Par contre, j'ai réellement besoin d'une adresse IPv4 en full IP, non bridée. Toutes les autres machines sont derrière et ça me convient. Je n'ai pas d'exemples en tête ou cela m'a posé problème insoluble. -- Kevin
Le 20-09-2009, Pascal Hambourg <boite-a-spam@plouf.fr.eu.org> a écrit :
Le NAT n'est pas une sécurité.
Et pourtant, il y contribue.
Pas directement. C'est l'utilisation d'adresses privés, non routées sur
internet en théorie, derrière le NAT qui apporte une protection plus que
le NAT lui-même.
Ok. Ce qui est la cas je pense pour toutes les liaisons ADSL personnelles.
Le problème, c'est "en théorie". En pratique, cela
revient à confier sa sécurité à quelqu'un d'autre, celui qui décide du
routage.
Et aujourd'hui, c'est la box.
Avant que les box arrivent, il y avait des
millions de machines windows connectées en direct sur internet.
Cafouillages, véroles, etc..
Et ce n'est plus le cas maintenant ? Je me marre.
Dans le temps, tu étais souvent face à un problème.
1/ installation de windows, donc maj à faire
2/ Connexion à internet pour faire les maj
3/ Infection avant même que tu aies fini la première maj
Et ça, c'était un réel problème. Dans les forums on conseillait des
solutions malpratiques comme aller télécharger un firewall win depuis
chez un voisin ou de mettre une machine linux en frontal sur internet.
Aujourd'hui, tu installes ton windows, tu le met derrière ta box, tu
fais tes maj, et tout va bien.
Les mêmes mécanismes de protection du réseau local par la box seront
les mêmes en IPv6
Pas les mêmes, puisqu'en l'absence de NAT ils seront basés sur du vrai
filtrage à état.
Effectivement, c'est un abus de langage de ma part. L'idée est la même:
une machine en frontal sur internet, et l'accès aux autres derrière
qui ne seront autorisées qu'en sortie. Mais mettre ça en oeuvre revient
à perdre l'interêt d'IPv6 qui est d'être joignable. Dès lors, si les
machines sont joignables, alors elles sont des cibles d'attaques...
Mais ce n'est pas gagné : la dernière fois que j'en ai
discuté dans proxad.free.*, les gens de Free n'avaient pas l'air décidé
à le mettre en place dans la Freebox. Pas assez de ressources système,
soi-disant.
L'information est intéressante.
En gros, si je comprends bien ce que tu veux dire, la différence c'est
juste qu'IPv6 est moins connu.
Tout à fait. On trouve des articles de vulgarisation IPv4 partout sur
internet. Pour IPv6, c'est moins courant.
Pas besoin d'attendre jusque là, la pénurie existe déjà.
Mais elle ne se fait pas vraiment sentir comme dit plus haut. Si je
veux un serveur, on me donne des IPv4, pas de pb.
Elle se fait sentir pour les clients comme moi qui sont obligés
d'utiliser du NAT lorsqu'ils ont plusieurs postes chez eux, voir le
début du fil.
Oui, enfin à 30euros/mois j'ai une adresse IP, donc je me demande ou est
la pénurie.. Le jour ou on ne me donnera plus d'adresse IP, seulement
un seul port entrant quel que soit le prix, là j'irais m'intéresser
à IPv6.
Actuellement, IPv4 c'est juste bon. Par contre, j'ai réellement besoin
d'une adresse IPv4 en full IP, non bridée. Toutes les autres machines
sont derrière et ça me convient. Je n'ai pas d'exemples en tête ou
cela m'a posé problème insoluble.
--
Kevin
Pas directement. C'est l'utilisation d'adresses privés, non routées sur internet en théorie, derrière le NAT qui apporte une protection plus que le NAT lui-même.
Ok. Ce qui est la cas je pense pour toutes les liaisons ADSL personnelles.
Le problème, c'est "en théorie". En pratique, cela revient à confier sa sécurité à quelqu'un d'autre, celui qui décide du routage.
Et aujourd'hui, c'est la box.
Avant que les box arrivent, il y avait des millions de machines windows connectées en direct sur internet. Cafouillages, véroles, etc..
Et ce n'est plus le cas maintenant ? Je me marre.
Dans le temps, tu étais souvent face à un problème. 1/ installation de windows, donc maj à faire 2/ Connexion à internet pour faire les maj 3/ Infection avant même que tu aies fini la première maj
Et ça, c'était un réel problème. Dans les forums on conseillait des solutions malpratiques comme aller télécharger un firewall win depuis chez un voisin ou de mettre une machine linux en frontal sur internet.
Aujourd'hui, tu installes ton windows, tu le met derrière ta box, tu fais tes maj, et tout va bien.
Les mêmes mécanismes de protection du réseau local par la box seront les mêmes en IPv6
Pas les mêmes, puisqu'en l'absence de NAT ils seront basés sur du vrai filtrage à état.
Effectivement, c'est un abus de langage de ma part. L'idée est la même: une machine en frontal sur internet, et l'accès aux autres derrière qui ne seront autorisées qu'en sortie. Mais mettre ça en oeuvre revient à perdre l'interêt d'IPv6 qui est d'être joignable. Dès lors, si les machines sont joignables, alors elles sont des cibles d'attaques...
Mais ce n'est pas gagné : la dernière fois que j'en ai discuté dans proxad.free.*, les gens de Free n'avaient pas l'air décidé à le mettre en place dans la Freebox. Pas assez de ressources système, soi-disant.
L'information est intéressante.
En gros, si je comprends bien ce que tu veux dire, la différence c'est juste qu'IPv6 est moins connu.
Tout à fait. On trouve des articles de vulgarisation IPv4 partout sur internet. Pour IPv6, c'est moins courant.
Pas besoin d'attendre jusque là, la pénurie existe déjà.
Mais elle ne se fait pas vraiment sentir comme dit plus haut. Si je veux un serveur, on me donne des IPv4, pas de pb.
Elle se fait sentir pour les clients comme moi qui sont obligés d'utiliser du NAT lorsqu'ils ont plusieurs postes chez eux, voir le début du fil.
Oui, enfin à 30euros/mois j'ai une adresse IP, donc je me demande ou est la pénurie.. Le jour ou on ne me donnera plus d'adresse IP, seulement un seul port entrant quel que soit le prix, là j'irais m'intéresser à IPv6.
Actuellement, IPv4 c'est juste bon. Par contre, j'ai réellement besoin d'une adresse IPv4 en full IP, non bridée. Toutes les autres machines sont derrière et ça me convient. Je n'ai pas d'exemples en tête ou cela m'a posé problème insoluble. -- Kevin
Pascal Hambourg
Kevin Denis a écrit :
Le 20-09-2009, Pascal Hambourg a écrit :
C'est l'utilisation d'adresses privés, non routées sur internet en théorie, derrière le NAT qui apporte une protection plus que le NAT lui-même.
Ok. Ce qui est la cas je pense pour toutes les liaisons ADSL personnelles.
Probablement. Il faudrait être fou pour utiliser du NAT avec des adresses publiques derrière sans raison particulière.
Le problème, c'est "en théorie". En pratique, cela revient à confier sa sécurité à quelqu'un d'autre, celui qui décide du routage.
Et aujourd'hui, c'est la box.
La box route forcément le préfixe privé puisqu'elle est directement connectée au LAN. Je parle des équipements amont, du côté WAN de la box. L'exemple classique, c'est le réseau câblé où des clients sont sur un même segment ethernet. Scénario :
Un client A a un réseau privé 192.168.0.0/24 derrière un routeur NAT. Un client B connecté au même segment ajoute sur sa machine une route vers 192.168.0.0/24 via l'adresse publique de A. Si B envoie un paquet à 192.168.0.x, celui-ci est transmis directement au routeur de A qui le route vers sa destination finale s'il n'y a pas de vrai filtrage.
Dans le temps, tu étais souvent face à un problème. 1/ installation de windows, donc maj à faire 2/ Connexion à internet pour faire les maj 3/ Infection avant même que tu aies fini la première maj
Et ça, c'était un réel problème. Dans les forums on conseillait des solutions malpratiques comme aller télécharger un firewall win depuis chez un voisin ou de mettre une machine linux en frontal sur internet.
Windows a un pare-feu intégré qui n'est censé laisser passer que les connexions sortantes depuis la version XP. Il est troué ?
Aujourd'hui, tu installes ton windows, tu le met derrière ta box, tu fais tes maj, et tout va bien.
Pas besoin de NAT pour ça, du filtrage à état suffirait et serait plus efficace car évitant le scénario ci-dessus.
une machine en frontal sur internet, et l'accès aux autres derrière qui ne seront autorisées qu'en sortie. Mais mettre ça en oeuvre revient à perdre l'interêt d'IPv6 qui est d'être joignable. Dès lors, si les machines sont joignables, alors elles sont des cibles d'attaques...
On peut ouvrir des ports particuliers en entrée si on sait qu'une application peut écouter dessus. Avec le NAT ça ne suffit pas toujours car pour certains protocoles (notamment ceux mettant en oeuvre des communications pair-à-pair) il faut aussi trafiquer le contenu de la communication.
Oui, enfin à 30euros/mois j'ai une adresse IP, donc je me demande ou est la pénurie..
La pénurie, c'est que tu n'as qu'une adresse IPv4 alors que tu as plusieurs machines connectées à internet. En IPv6 on t'en donne suffisamment (peu importe le nombre) pour le même prix.
Actuellement, IPv4 c'est juste bon. Par contre, j'ai réellement besoin d'une adresse IPv4 en full IP, non bridée. Toutes les autres machines sont derrière et ça me convient. Je n'ai pas d'exemples en tête ou cela m'a posé problème insoluble.
Heureux homme !
Kevin Denis a écrit :
Le 20-09-2009, Pascal Hambourg <boite-a-spam@plouf.fr.eu.org> a écrit :
C'est l'utilisation d'adresses privés, non routées sur
internet en théorie, derrière le NAT qui apporte une protection plus que
le NAT lui-même.
Ok. Ce qui est la cas je pense pour toutes les liaisons ADSL personnelles.
Probablement. Il faudrait être fou pour utiliser du NAT avec des
adresses publiques derrière sans raison particulière.
Le problème, c'est "en théorie". En pratique, cela
revient à confier sa sécurité à quelqu'un d'autre, celui qui décide du
routage.
Et aujourd'hui, c'est la box.
La box route forcément le préfixe privé puisqu'elle est directement
connectée au LAN. Je parle des équipements amont, du côté WAN de la box.
L'exemple classique, c'est le réseau câblé où des clients sont sur un
même segment ethernet. Scénario :
Un client A a un réseau privé 192.168.0.0/24 derrière un routeur NAT.
Un client B connecté au même segment ajoute sur sa machine une route
vers 192.168.0.0/24 via l'adresse publique de A.
Si B envoie un paquet à 192.168.0.x, celui-ci est transmis directement
au routeur de A qui le route vers sa destination finale s'il n'y a pas
de vrai filtrage.
Dans le temps, tu étais souvent face à un problème.
1/ installation de windows, donc maj à faire
2/ Connexion à internet pour faire les maj
3/ Infection avant même que tu aies fini la première maj
Et ça, c'était un réel problème. Dans les forums on conseillait des
solutions malpratiques comme aller télécharger un firewall win depuis
chez un voisin ou de mettre une machine linux en frontal sur internet.
Windows a un pare-feu intégré qui n'est censé laisser passer que les
connexions sortantes depuis la version XP. Il est troué ?
Aujourd'hui, tu installes ton windows, tu le met derrière ta box, tu
fais tes maj, et tout va bien.
Pas besoin de NAT pour ça, du filtrage à état suffirait et serait plus
efficace car évitant le scénario ci-dessus.
une machine en frontal sur internet, et l'accès aux autres derrière
qui ne seront autorisées qu'en sortie. Mais mettre ça en oeuvre revient
à perdre l'interêt d'IPv6 qui est d'être joignable. Dès lors, si les
machines sont joignables, alors elles sont des cibles d'attaques...
On peut ouvrir des ports particuliers en entrée si on sait qu'une
application peut écouter dessus. Avec le NAT ça ne suffit pas toujours
car pour certains protocoles (notamment ceux mettant en oeuvre des
communications pair-à-pair) il faut aussi trafiquer le contenu de la
communication.
Oui, enfin à 30euros/mois j'ai une adresse IP, donc je me demande ou est
la pénurie..
La pénurie, c'est que tu n'as qu'une adresse IPv4 alors que tu as
plusieurs machines connectées à internet. En IPv6 on t'en donne
suffisamment (peu importe le nombre) pour le même prix.
Actuellement, IPv4 c'est juste bon. Par contre, j'ai réellement besoin
d'une adresse IPv4 en full IP, non bridée. Toutes les autres machines
sont derrière et ça me convient. Je n'ai pas d'exemples en tête ou
cela m'a posé problème insoluble.
C'est l'utilisation d'adresses privés, non routées sur internet en théorie, derrière le NAT qui apporte une protection plus que le NAT lui-même.
Ok. Ce qui est la cas je pense pour toutes les liaisons ADSL personnelles.
Probablement. Il faudrait être fou pour utiliser du NAT avec des adresses publiques derrière sans raison particulière.
Le problème, c'est "en théorie". En pratique, cela revient à confier sa sécurité à quelqu'un d'autre, celui qui décide du routage.
Et aujourd'hui, c'est la box.
La box route forcément le préfixe privé puisqu'elle est directement connectée au LAN. Je parle des équipements amont, du côté WAN de la box. L'exemple classique, c'est le réseau câblé où des clients sont sur un même segment ethernet. Scénario :
Un client A a un réseau privé 192.168.0.0/24 derrière un routeur NAT. Un client B connecté au même segment ajoute sur sa machine une route vers 192.168.0.0/24 via l'adresse publique de A. Si B envoie un paquet à 192.168.0.x, celui-ci est transmis directement au routeur de A qui le route vers sa destination finale s'il n'y a pas de vrai filtrage.
Dans le temps, tu étais souvent face à un problème. 1/ installation de windows, donc maj à faire 2/ Connexion à internet pour faire les maj 3/ Infection avant même que tu aies fini la première maj
Et ça, c'était un réel problème. Dans les forums on conseillait des solutions malpratiques comme aller télécharger un firewall win depuis chez un voisin ou de mettre une machine linux en frontal sur internet.
Windows a un pare-feu intégré qui n'est censé laisser passer que les connexions sortantes depuis la version XP. Il est troué ?
Aujourd'hui, tu installes ton windows, tu le met derrière ta box, tu fais tes maj, et tout va bien.
Pas besoin de NAT pour ça, du filtrage à état suffirait et serait plus efficace car évitant le scénario ci-dessus.
une machine en frontal sur internet, et l'accès aux autres derrière qui ne seront autorisées qu'en sortie. Mais mettre ça en oeuvre revient à perdre l'interêt d'IPv6 qui est d'être joignable. Dès lors, si les machines sont joignables, alors elles sont des cibles d'attaques...
On peut ouvrir des ports particuliers en entrée si on sait qu'une application peut écouter dessus. Avec le NAT ça ne suffit pas toujours car pour certains protocoles (notamment ceux mettant en oeuvre des communications pair-à-pair) il faut aussi trafiquer le contenu de la communication.
Oui, enfin à 30euros/mois j'ai une adresse IP, donc je me demande ou est la pénurie..
La pénurie, c'est que tu n'as qu'une adresse IPv4 alors que tu as plusieurs machines connectées à internet. En IPv6 on t'en donne suffisamment (peu importe le nombre) pour le même prix.
Actuellement, IPv4 c'est juste bon. Par contre, j'ai réellement besoin d'une adresse IPv4 en full IP, non bridée. Toutes les autres machines sont derrière et ça me convient. Je n'ai pas d'exemples en tête ou cela m'a posé problème insoluble.
