à chaque fois que j'active une interfaces réseau (par exemple avec
"ifconfig eth0 up" ou "ip link set eth0 up") implicitement l'interface
est configurée en IPv6 (link local address).
Comment peut-on activer une interface sans qu'IPv6 ne soit activé ? Par
exemple pour activer une interface uniquement en IPv4.
la seule solution trouvée jusque là (mais elle ne me plaît pas), est de
supprimer l'adresse link local IPv6 une fois l'interface activée, avec
la commande :
Que le DHCPv6 utilise directement la MAC pour générer automatiquement les 64 bits restants n'est qu'une configuration locale par défaut (qui évite les aléas). Rien n'interdit d'allouer les 64 bits de fin comme on veut (en respectant les conventions) et d'avoir une adresse IPv6 qui va bien (ou alors j'ai rien compris à /64 dans la délégation)
je confirme, on peut configurer la partie host à sa guise (et pas seulement avec EUI-64). C'est même conseillé pour des serveurs dans la mesure où le changement de carte réseau ne change pas l'adresse IPv6 (et donc ne nécessite pas de modifier le DNS non plus).
[...]
Joe
Le 14/02/2012 23:49, Le Forgeron a écrit :
Le 14/02/2012 13:19, Xavier nous fit lire :
L'IPv6 de Free est tout moisi, pas routable.
[...]
Que le DHCPv6 utilise directement la MAC pour générer automatiquement
les 64 bits restants n'est qu'une configuration locale par défaut (qui
évite les aléas). Rien n'interdit d'allouer les 64 bits de fin comme on
veut (en respectant les conventions) et d'avoir une adresse IPv6 qui va
bien (ou alors j'ai rien compris à /64 dans la délégation)
je confirme, on peut configurer la partie host à sa guise (et pas
seulement avec EUI-64). C'est même conseillé pour des serveurs dans la
mesure où le changement de carte réseau ne change pas l'adresse IPv6 (et
donc ne nécessite pas de modifier le DNS non plus).
Que le DHCPv6 utilise directement la MAC pour générer automatiquement les 64 bits restants n'est qu'une configuration locale par défaut (qui évite les aléas). Rien n'interdit d'allouer les 64 bits de fin comme on veut (en respectant les conventions) et d'avoir une adresse IPv6 qui va bien (ou alors j'ai rien compris à /64 dans la délégation)
je confirme, on peut configurer la partie host à sa guise (et pas seulement avec EUI-64). C'est même conseillé pour des serveurs dans la mesure où le changement de carte réseau ne change pas l'adresse IPv6 (et donc ne nécessite pas de modifier le DNS non plus).
[...]
Joe
Joe the Shmoe
Le 15/02/2012 00:20, Pascal Hambourg a écrit :
Le Forgeron a écrit :
Le 14/02/2012 13:19, Xavier nous fit lire :
L'IPv6 de Free est tout moisi, pas routable.
On peut développer ?
En quoi 2a01:... /64 n'est pas routable ?
Il veut dire que l'utilisateur ne peut pas contrôler le routage de son préfixe IPv6 sur le LAN derrière la freebox. Toutes les machines qui doivent bénéficier d'une connectivité IPv6 doivent être connectées directement au sous-réseau de la freebox, sans possibilité de mettre en place un routeur intermédiaire.
C'est normal, il faudrait sinon avoir un protocole de routage dynamique entre la freebox et le (ou les) routeur utilisateurs ... sinon comment la freebox pourrait-elle savoir si une IPv6 du préfixe alloué est directement connectée (l'hote peut être éteint) ou si elle est joignable à travers un routeur (et lequel ?)... Et quid alors si via ce protocole de routage je diffuse une plage IP en dehors du sous-réseau qui m'est assigné ? La Freebox devrait faire du contrôle des routes annoncées (à la BGP) ?
En fait, ce qui manque c'est la possibilité de contrôler le routage des 15 autres /64 du /60 qui est en réalité routé vers la freebox.
On peut aussi imaginer une mise à jour de l'interface des comptes freebox pour définir en statique le next-hop de tel ou tel sous-réseau de la plage IPv6 allouée ... ce serait un développement coûteux et pour combien d'utilisateurs intéressés ? Pour ma part (et j'en reviens à ma question d'origine), j'ai préféré conserver IPv4 en interne, des proxy applicatifs en tête de pont et, vers Internet, un dual-stack IPv4 - IPv6 ...
Joe.
Le 15/02/2012 00:20, Pascal Hambourg a écrit :
Le Forgeron a écrit :
Le 14/02/2012 13:19, Xavier nous fit lire :
L'IPv6 de Free est tout moisi, pas routable.
On peut développer ?
En quoi 2a01:... /64 n'est pas routable ?
Il veut dire que l'utilisateur ne peut pas contrôler le routage de son
préfixe IPv6 sur le LAN derrière la freebox. Toutes les machines qui
doivent bénéficier d'une connectivité IPv6 doivent être connectées
directement au sous-réseau de la freebox, sans possibilité de mettre en
place un routeur intermédiaire.
C'est normal, il faudrait sinon avoir un protocole de routage dynamique
entre la freebox et le (ou les) routeur utilisateurs ... sinon comment
la freebox pourrait-elle savoir si une IPv6 du préfixe alloué est
directement connectée (l'hote peut être éteint) ou si elle est joignable
à travers un routeur (et lequel ?)... Et quid alors si via ce protocole
de routage je diffuse une plage IP en dehors du sous-réseau qui m'est
assigné ? La Freebox devrait faire du contrôle des routes annoncées (à
la BGP) ?
En fait, ce qui manque c'est la possibilité de contrôler le routage des
15 autres /64 du /60 qui est en réalité routé vers la freebox.
On peut aussi imaginer une mise à jour de l'interface des comptes
freebox pour définir en statique le next-hop de tel ou tel sous-réseau
de la plage IPv6 allouée ... ce serait un développement coûteux et pour
combien d'utilisateurs intéressés ? Pour ma part (et j'en reviens à ma
question d'origine), j'ai préféré conserver IPv4 en interne, des proxy
applicatifs en tête de pont et, vers Internet, un dual-stack IPv4 - IPv6
...
Il veut dire que l'utilisateur ne peut pas contrôler le routage de son préfixe IPv6 sur le LAN derrière la freebox. Toutes les machines qui doivent bénéficier d'une connectivité IPv6 doivent être connectées directement au sous-réseau de la freebox, sans possibilité de mettre en place un routeur intermédiaire.
C'est normal, il faudrait sinon avoir un protocole de routage dynamique entre la freebox et le (ou les) routeur utilisateurs ... sinon comment la freebox pourrait-elle savoir si une IPv6 du préfixe alloué est directement connectée (l'hote peut être éteint) ou si elle est joignable à travers un routeur (et lequel ?)... Et quid alors si via ce protocole de routage je diffuse une plage IP en dehors du sous-réseau qui m'est assigné ? La Freebox devrait faire du contrôle des routes annoncées (à la BGP) ?
En fait, ce qui manque c'est la possibilité de contrôler le routage des 15 autres /64 du /60 qui est en réalité routé vers la freebox.
On peut aussi imaginer une mise à jour de l'interface des comptes freebox pour définir en statique le next-hop de tel ou tel sous-réseau de la plage IPv6 allouée ... ce serait un développement coûteux et pour combien d'utilisateurs intéressés ? Pour ma part (et j'en reviens à ma question d'origine), j'ai préféré conserver IPv4 en interne, des proxy applicatifs en tête de pont et, vers Internet, un dual-stack IPv4 - IPv6 ...
Joe.
Pascal Hambourg
Joe the Shmoe a écrit :
Le 15/02/2012 00:20, Pascal Hambourg a écrit :
Il veut dire que l'utilisateur ne peut pas contrôler le routage de son préfixe IPv6 sur le LAN derrière la freebox. Toutes les machines qui doivent bénéficier d'une connectivité IPv6 doivent être connectées directement au sous-réseau de la freebox, sans possibilité de mettre en place un routeur intermédiaire.
C'est normal, il faudrait sinon avoir un protocole de routage dynamique entre la freebox et le (ou les) routeur utilisateurs
Non, il suffit de pouvoir créer des routes statiques.
... sinon comment la freebox pourrait-elle savoir si une IPv6 du préfixe alloué est directement connectée (l'hote peut être éteint) ou si elle est joignable à travers un routeur (et lequel ?)
Personne n'a demandé la possibilité router les adresses individuellement. On demande juste de pouvoir router par préfixes.
En fait, ce qui manque c'est la possibilité de contrôler le routage des 15 autres /64 du /60 qui est en réalité routé vers la freebox.
On peut aussi imaginer une mise à jour de l'interface des comptes freebox pour définir en statique le next-hop de tel ou tel sous-réseau de la plage IPv6 allouée
Evidemment il faut une interface de gestion. Que ce soit celle du compte ADSL ou celle de la freebox, peu importe.
... ce serait un développement coûteux
Pas plus coûteux que n'importe quelle autre fonctionnalité. N'importe quelle autre box et routeur domestique offre la possibilité de créer des routes statiques (en IPv4, mais le principe est strictement le même). Pas la freebox.
Pour ma part (et j'en reviens à ma question d'origine), j'ai préféré conserver IPv4 en interne, des proxy applicatifs en tête de pont et, vers Internet, un dual-stack IPv4 - IPv6
Tu préfères ça, d'autres préfèrent autre chose, comme une connectivité de bout en bout qui est un des fondements originels du protocole internet. Un proxy, c'est à sens unique, et tu ne peux pas avoir un proxy applicatif pour toutes les applications possibles et imaginables.
Joe the Shmoe a écrit :
Le 15/02/2012 00:20, Pascal Hambourg a écrit :
Il veut dire que l'utilisateur ne peut pas contrôler le routage de son
préfixe IPv6 sur le LAN derrière la freebox. Toutes les machines qui
doivent bénéficier d'une connectivité IPv6 doivent être connectées
directement au sous-réseau de la freebox, sans possibilité de mettre en
place un routeur intermédiaire.
C'est normal, il faudrait sinon avoir un protocole de routage dynamique
entre la freebox et le (ou les) routeur utilisateurs
Non, il suffit de pouvoir créer des routes statiques.
... sinon comment
la freebox pourrait-elle savoir si une IPv6 du préfixe alloué est
directement connectée (l'hote peut être éteint) ou si elle est joignable
à travers un routeur (et lequel ?)
Personne n'a demandé la possibilité router les adresses
individuellement. On demande juste de pouvoir router par préfixes.
En fait, ce qui manque c'est la possibilité de contrôler le routage des
15 autres /64 du /60 qui est en réalité routé vers la freebox.
On peut aussi imaginer une mise à jour de l'interface des comptes
freebox pour définir en statique le next-hop de tel ou tel sous-réseau
de la plage IPv6 allouée
Evidemment il faut une interface de gestion. Que ce soit celle du compte
ADSL ou celle de la freebox, peu importe.
... ce serait un développement coûteux
Pas plus coûteux que n'importe quelle autre fonctionnalité.
N'importe quelle autre box et routeur domestique offre la possibilité de
créer des routes statiques (en IPv4, mais le principe est strictement le
même). Pas la freebox.
Pour ma part (et j'en reviens à ma
question d'origine), j'ai préféré conserver IPv4 en interne, des proxy
applicatifs en tête de pont et, vers Internet, un dual-stack IPv4 - IPv6
Tu préfères ça, d'autres préfèrent autre chose, comme une connectivité
de bout en bout qui est un des fondements originels du protocole
internet. Un proxy, c'est à sens unique, et tu ne peux pas avoir un
proxy applicatif pour toutes les applications possibles et imaginables.
Il veut dire que l'utilisateur ne peut pas contrôler le routage de son préfixe IPv6 sur le LAN derrière la freebox. Toutes les machines qui doivent bénéficier d'une connectivité IPv6 doivent être connectées directement au sous-réseau de la freebox, sans possibilité de mettre en place un routeur intermédiaire.
C'est normal, il faudrait sinon avoir un protocole de routage dynamique entre la freebox et le (ou les) routeur utilisateurs
Non, il suffit de pouvoir créer des routes statiques.
... sinon comment la freebox pourrait-elle savoir si une IPv6 du préfixe alloué est directement connectée (l'hote peut être éteint) ou si elle est joignable à travers un routeur (et lequel ?)
Personne n'a demandé la possibilité router les adresses individuellement. On demande juste de pouvoir router par préfixes.
En fait, ce qui manque c'est la possibilité de contrôler le routage des 15 autres /64 du /60 qui est en réalité routé vers la freebox.
On peut aussi imaginer une mise à jour de l'interface des comptes freebox pour définir en statique le next-hop de tel ou tel sous-réseau de la plage IPv6 allouée
Evidemment il faut une interface de gestion. Que ce soit celle du compte ADSL ou celle de la freebox, peu importe.
... ce serait un développement coûteux
Pas plus coûteux que n'importe quelle autre fonctionnalité. N'importe quelle autre box et routeur domestique offre la possibilité de créer des routes statiques (en IPv4, mais le principe est strictement le même). Pas la freebox.
Pour ma part (et j'en reviens à ma question d'origine), j'ai préféré conserver IPv4 en interne, des proxy applicatifs en tête de pont et, vers Internet, un dual-stack IPv4 - IPv6
Tu préfères ça, d'autres préfèrent autre chose, comme une connectivité de bout en bout qui est un des fondements originels du protocole internet. Un proxy, c'est à sens unique, et tu ne peux pas avoir un proxy applicatif pour toutes les applications possibles et imaginables.
Le Forgeron
Le 15/02/2012 22:55, Pascal Hambourg nous fit lire :
N'importe quelle autre box et routeur domestique offre la possibilité de créer des routes statiques (en IPv4, mais le principe est strictement le même). Pas la freebox.
D'un autre coté, c'est du matériel à destination "familial". Au pire on peut mettre un switch 24 port derriere chaque prise de la box... et tant qu'on ne fait pas de DMZ dans le dos de la box, je ne vois pas l'intérêt d'ajouter (maladroitement par tatie du cantal) des routes à la main.
Le 15/02/2012 22:55, Pascal Hambourg nous fit lire :
N'importe quelle autre box et routeur domestique offre la possibilité de
créer des routes statiques (en IPv4, mais le principe est strictement le
même). Pas la freebox.
D'un autre coté, c'est du matériel à destination "familial".
Au pire on peut mettre un switch 24 port derriere chaque prise de la
box... et tant qu'on ne fait pas de DMZ dans le dos de la box, je ne
vois pas l'intérêt d'ajouter (maladroitement par tatie du cantal) des
routes à la main.
Le 15/02/2012 22:55, Pascal Hambourg nous fit lire :
N'importe quelle autre box et routeur domestique offre la possibilité de créer des routes statiques (en IPv4, mais le principe est strictement le même). Pas la freebox.
D'un autre coté, c'est du matériel à destination "familial". Au pire on peut mettre un switch 24 port derriere chaque prise de la box... et tant qu'on ne fait pas de DMZ dans le dos de la box, je ne vois pas l'intérêt d'ajouter (maladroitement par tatie du cantal) des routes à la main.
Pascal Hambourg
Le Forgeron a écrit :
Le 15/02/2012 22:55, Pascal Hambourg nous fit lire :
N'importe quelle autre box et routeur domestique offre la possibilité de créer des routes statiques (en IPv4, mais le principe est strictement le même). Pas la freebox.
D'un autre coté, c'est du matériel à destination "familial".
Les autres box et routeurs *domestiques* aussi, et permettent bien de créer des routes statiques, alors...
Au pire on peut mettre un switch 24 port derriere chaque prise de la box... et tant qu'on ne fait pas de DMZ dans le dos de la box, je ne vois pas l'intérêt d'ajouter (maladroitement par tatie du cantal) des routes à la main.
L'intérêt, c'est d'intercaler un routeur entre la freebox et le réseau local, notamment pour faire du filtrage un peu plus sérieux que la freebox. Surtout en ce qui concerne l'IPv6, pour laquelle la freebox ne fait aucun filtrage.
Le Forgeron a écrit :
Le 15/02/2012 22:55, Pascal Hambourg nous fit lire :
N'importe quelle autre box et routeur domestique offre la possibilité de
créer des routes statiques (en IPv4, mais le principe est strictement le
même). Pas la freebox.
D'un autre coté, c'est du matériel à destination "familial".
Les autres box et routeurs *domestiques* aussi, et permettent bien de
créer des routes statiques, alors...
Au pire on peut mettre un switch 24 port derriere chaque prise de la
box... et tant qu'on ne fait pas de DMZ dans le dos de la box, je ne
vois pas l'intérêt d'ajouter (maladroitement par tatie du cantal) des
routes à la main.
L'intérêt, c'est d'intercaler un routeur entre la freebox et le réseau
local, notamment pour faire du filtrage un peu plus sérieux que la
freebox. Surtout en ce qui concerne l'IPv6, pour laquelle la freebox ne
fait aucun filtrage.
Le 15/02/2012 22:55, Pascal Hambourg nous fit lire :
N'importe quelle autre box et routeur domestique offre la possibilité de créer des routes statiques (en IPv4, mais le principe est strictement le même). Pas la freebox.
D'un autre coté, c'est du matériel à destination "familial".
Les autres box et routeurs *domestiques* aussi, et permettent bien de créer des routes statiques, alors...
Au pire on peut mettre un switch 24 port derriere chaque prise de la box... et tant qu'on ne fait pas de DMZ dans le dos de la box, je ne vois pas l'intérêt d'ajouter (maladroitement par tatie du cantal) des routes à la main.
L'intérêt, c'est d'intercaler un routeur entre la freebox et le réseau local, notamment pour faire du filtrage un peu plus sérieux que la freebox. Surtout en ce qui concerne l'IPv6, pour laquelle la freebox ne fait aucun filtrage.
Le Forgeron
Le 16/02/2012 00:29, Pascal Hambourg nous fit lire :
L'intérêt, c'est d'intercaler un routeur entre la freebox et le réseau local, notamment pour faire du filtrage un peu plus sérieux que la freebox. Surtout en ce qui concerne l'IPv6, pour laquelle la freebox ne fait aucun filtrage.
Remarquons que l'usage de la box n'est pas obligatoire non plus (même si ça perd du coup en fonctionalité), on peut très bien y mettre le modem-routeur qu'on veut, au moins sur l'ADSL (sur la fibre, je ne sais pas)
Le 16/02/2012 00:29, Pascal Hambourg nous fit lire :
L'intérêt, c'est d'intercaler un routeur entre la freebox et le réseau
local, notamment pour faire du filtrage un peu plus sérieux que la
freebox. Surtout en ce qui concerne l'IPv6, pour laquelle la freebox ne
fait aucun filtrage.
Remarquons que l'usage de la box n'est pas obligatoire non plus (même si
ça perd du coup en fonctionalité), on peut très bien y mettre le
modem-routeur qu'on veut, au moins sur l'ADSL (sur la fibre, je ne sais pas)
Le 16/02/2012 00:29, Pascal Hambourg nous fit lire :
L'intérêt, c'est d'intercaler un routeur entre la freebox et le réseau local, notamment pour faire du filtrage un peu plus sérieux que la freebox. Surtout en ce qui concerne l'IPv6, pour laquelle la freebox ne fait aucun filtrage.
Remarquons que l'usage de la box n'est pas obligatoire non plus (même si ça perd du coup en fonctionalité), on peut très bien y mettre le modem-routeur qu'on veut, au moins sur l'ADSL (sur la fibre, je ne sais pas)
Pascal Hambourg
Le Forgeron a écrit :
Le 16/02/2012 00:29, Pascal Hambourg nous fit lire :
L'intérêt, c'est d'intercaler un routeur entre la freebox et le réseau local, notamment pour faire du filtrage un peu plus sérieux que la freebox. Surtout en ce qui concerne l'IPv6, pour laquelle la freebox ne fait aucun filtrage.
Remarquons que l'usage de la box n'est pas obligatoire non plus (même si ça perd du coup en fonctionalité)
Ah çà, sans la freebox on perd des fonctionnalités : le téléphone, la télévision... et l'IPv6 !
Le Forgeron a écrit :
Le 16/02/2012 00:29, Pascal Hambourg nous fit lire :
L'intérêt, c'est d'intercaler un routeur entre la freebox et le réseau
local, notamment pour faire du filtrage un peu plus sérieux que la
freebox. Surtout en ce qui concerne l'IPv6, pour laquelle la freebox ne
fait aucun filtrage.
Remarquons que l'usage de la box n'est pas obligatoire non plus (même si
ça perd du coup en fonctionalité)
Ah çà, sans la freebox on perd des fonctionnalités : le téléphone, la
télévision... et l'IPv6 !
Le 16/02/2012 00:29, Pascal Hambourg nous fit lire :
L'intérêt, c'est d'intercaler un routeur entre la freebox et le réseau local, notamment pour faire du filtrage un peu plus sérieux que la freebox. Surtout en ce qui concerne l'IPv6, pour laquelle la freebox ne fait aucun filtrage.
Remarquons que l'usage de la box n'est pas obligatoire non plus (même si ça perd du coup en fonctionalité)
Ah çà, sans la freebox on perd des fonctionnalités : le téléphone, la télévision... et l'IPv6 !
Joe the Shmoe
Le 15/02/2012 22:55, Pascal Hambourg a écrit :
[...]
Pour ma part (et j'en reviens à ma question d'origine), j'ai préféré conserver IPv4 en interne, des proxy applicatifs en tête de pont et, vers Internet, un dual-stack IPv4 - IPv6
Tu préfères ça, d'autres préfèrent autre chose, comme une connectivité de bout en bout qui est un des fondements originels du protocole internet. Un proxy, c'est à sens unique, et tu ne peux pas avoir un proxy applicatif pour toutes les applications possibles et imaginables.
tout à fait, chacun ses goûts. Ce dit, qu'apporte la "collectivité de bout en bout" si ce n'est de fournir aux serveurs extérieurs consultés une information supplémentaire à savoir le nombre de poste bureautiques via leurs IP sources différentes ? Pour peu qu'ils aient un comportement différents selon l'OS (tel le choix du numéro de séquence TCP, ou un comportement particulier au niveau applicatif), et le le serveur consulté est à même de déterminer la composition du parc bureautique qui auparavant était cachée derrière firewalls DMZ et proxy applicatifs. Si ce serveur est celui d'un pirate, ce dernier aura moins de mal à savoir quelle faille il pourra tenter d'exploiter pour obtenir encore plus de privilège sur tel sous ensemble de la population de postes bureautiques (ou de terminaux mobiles tel qu'on en voit de plus en plus en entreprise).
Cordialement, Joe.
Le 15/02/2012 22:55, Pascal Hambourg a écrit :
[...]
Pour ma part (et j'en reviens à ma
question d'origine), j'ai préféré conserver IPv4 en interne, des proxy
applicatifs en tête de pont et, vers Internet, un dual-stack IPv4 - IPv6
Tu préfères ça, d'autres préfèrent autre chose, comme une connectivité
de bout en bout qui est un des fondements originels du protocole
internet. Un proxy, c'est à sens unique, et tu ne peux pas avoir un
proxy applicatif pour toutes les applications possibles et imaginables.
tout à fait, chacun ses goûts. Ce dit, qu'apporte la "collectivité de
bout en bout" si ce n'est de fournir aux serveurs extérieurs consultés
une information supplémentaire à savoir le nombre de poste bureautiques
via leurs IP sources différentes ? Pour peu qu'ils aient un comportement
différents selon l'OS (tel le choix du numéro de séquence TCP, ou un
comportement particulier au niveau applicatif), et le le serveur
consulté est à même de déterminer la composition du parc bureautique qui
auparavant était cachée derrière firewalls DMZ et proxy applicatifs. Si
ce serveur est celui d'un pirate, ce dernier aura moins de mal à savoir
quelle faille il pourra tenter d'exploiter pour obtenir encore plus de
privilège sur tel sous ensemble de la population de postes bureautiques
(ou de terminaux mobiles tel qu'on en voit de plus en plus en entreprise).
Pour ma part (et j'en reviens à ma question d'origine), j'ai préféré conserver IPv4 en interne, des proxy applicatifs en tête de pont et, vers Internet, un dual-stack IPv4 - IPv6
Tu préfères ça, d'autres préfèrent autre chose, comme une connectivité de bout en bout qui est un des fondements originels du protocole internet. Un proxy, c'est à sens unique, et tu ne peux pas avoir un proxy applicatif pour toutes les applications possibles et imaginables.
tout à fait, chacun ses goûts. Ce dit, qu'apporte la "collectivité de bout en bout" si ce n'est de fournir aux serveurs extérieurs consultés une information supplémentaire à savoir le nombre de poste bureautiques via leurs IP sources différentes ? Pour peu qu'ils aient un comportement différents selon l'OS (tel le choix du numéro de séquence TCP, ou un comportement particulier au niveau applicatif), et le le serveur consulté est à même de déterminer la composition du parc bureautique qui auparavant était cachée derrière firewalls DMZ et proxy applicatifs. Si ce serveur est celui d'un pirate, ce dernier aura moins de mal à savoir quelle faille il pourra tenter d'exploiter pour obtenir encore plus de privilège sur tel sous ensemble de la population de postes bureautiques (ou de terminaux mobiles tel qu'on en voit de plus en plus en entreprise).
Cordialement, Joe.
Pascal Hambourg
Joe the Shmoe a écrit :
Le 15/02/2012 22:55, Pascal Hambourg a écrit :
Tu préfères ça, d'autres préfèrent autre chose, comme une connectivité de bout en bout qui est un des fondements originels du protocole internet. Un proxy, c'est à sens unique, et tu ne peux pas avoir un proxy applicatif pour toutes les applications possibles et imaginables.
tout à fait, chacun ses goûts. Ce dit, qu'apporte la "collectivité de
Connectivité.
bout en bout" si ce n'est de fournir aux serveurs extérieurs consultés une information supplémentaire à savoir le nombre de poste bureautiques via leurs IP sources différentes ?
Cela apporte une meilleure chance de supporter les protocoles et les applications les plus atypiques et ceci très simplement, sans devoir avoir recours à une usine à gaz de type NAT ou autre ALG.
Si on est concerné par sa "vie privée", l'usage d'adresses temporaires pour les communications sortantes est une option.
Joe the Shmoe a écrit :
Le 15/02/2012 22:55, Pascal Hambourg a écrit :
Tu préfères ça, d'autres préfèrent autre chose, comme une connectivité
de bout en bout qui est un des fondements originels du protocole
internet. Un proxy, c'est à sens unique, et tu ne peux pas avoir un
proxy applicatif pour toutes les applications possibles et imaginables.
tout à fait, chacun ses goûts. Ce dit, qu'apporte la "collectivité de
Connectivité.
bout en bout" si ce n'est de fournir aux serveurs extérieurs consultés
une information supplémentaire à savoir le nombre de poste bureautiques
via leurs IP sources différentes ?
Cela apporte une meilleure chance de supporter les protocoles et les
applications les plus atypiques et ceci très simplement, sans devoir
avoir recours à une usine à gaz de type NAT ou autre ALG.
Si on est concerné par sa "vie privée", l'usage d'adresses temporaires
pour les communications sortantes est une option.
Tu préfères ça, d'autres préfèrent autre chose, comme une connectivité de bout en bout qui est un des fondements originels du protocole internet. Un proxy, c'est à sens unique, et tu ne peux pas avoir un proxy applicatif pour toutes les applications possibles et imaginables.
tout à fait, chacun ses goûts. Ce dit, qu'apporte la "collectivité de
Connectivité.
bout en bout" si ce n'est de fournir aux serveurs extérieurs consultés une information supplémentaire à savoir le nombre de poste bureautiques via leurs IP sources différentes ?
Cela apporte une meilleure chance de supporter les protocoles et les applications les plus atypiques et ceci très simplement, sans devoir avoir recours à une usine à gaz de type NAT ou autre ALG.
Si on est concerné par sa "vie privée", l'usage d'adresses temporaires pour les communications sortantes est une option.
Joe the Shmoe
Le 17/02/2012 22:03, Pascal Hambourg a écrit :
Joe the Shmoe a écrit :
Le 15/02/2012 22:55, Pascal Hambourg a écrit :
[...]
tout à fait, chacun ses goûts. Ce dit, qu'apporte la "collectivité de
Connectivité.
oui, merci c'était une faute de frappe,
[...]
Si on est concerné par sa "vie privée", l'usage d'adresses temporaires pour les communications sortantes est une option.
c'est une idée intéressante, effectivement. Mais est-ce que ça ne revient pas tout compte fait à faire une sorte de NAT, dans la mesure où il faut un équipement intermédiaire pour rendre "temporaires" les IP sources vues par les serveurs extérieurs ?
... A moins que le poste client change d'IP très fréquemment (ce qui poserait problème pour les sessions en cours) ou mieux, dispose d'un pool d'IP important et pioche dedans aléatoirement pour chaque nouvelle session ? Mais je n'ai pas encore vu de telle implémentation... (?)
Le 17/02/2012 22:03, Pascal Hambourg a écrit :
Joe the Shmoe a écrit :
Le 15/02/2012 22:55, Pascal Hambourg a écrit :
[...]
tout à fait, chacun ses goûts. Ce dit, qu'apporte la "collectivité de
Connectivité.
oui, merci c'était une faute de frappe,
[...]
Si on est concerné par sa "vie privée", l'usage d'adresses temporaires
pour les communications sortantes est une option.
c'est une idée intéressante, effectivement. Mais est-ce que ça ne
revient pas tout compte fait à faire une sorte de NAT, dans la mesure où
il faut un équipement intermédiaire pour rendre "temporaires" les IP
sources vues par les serveurs extérieurs ?
... A moins que le poste client change d'IP très fréquemment (ce qui
poserait problème pour les sessions en cours) ou mieux, dispose d'un
pool d'IP important et pioche dedans aléatoirement pour chaque nouvelle
session ? Mais je n'ai pas encore vu de telle implémentation... (?)
tout à fait, chacun ses goûts. Ce dit, qu'apporte la "collectivité de
Connectivité.
oui, merci c'était une faute de frappe,
[...]
Si on est concerné par sa "vie privée", l'usage d'adresses temporaires pour les communications sortantes est une option.
c'est une idée intéressante, effectivement. Mais est-ce que ça ne revient pas tout compte fait à faire une sorte de NAT, dans la mesure où il faut un équipement intermédiaire pour rendre "temporaires" les IP sources vues par les serveurs extérieurs ?
... A moins que le poste client change d'IP très fréquemment (ce qui poserait problème pour les sessions en cours) ou mieux, dispose d'un pool d'IP important et pioche dedans aléatoirement pour chaque nouvelle session ? Mais je n'ai pas encore vu de telle implémentation... (?)