J’ai coupé “la tendance s’inversera à un moment donné, je suppose” ne sachant pas de quelle tendance tu parles.
J’entends par tendance la forte diminution du nombre d’adresses ipv4 disponibles
Est ce totalement impensable qu’au fur et à mesure ou ipv6 va se mettre en place, cette tendance va forcément diminuer, se stabiliser (quitte à ce que cette stabilisation soit due à une pénurie complète), et dans quelques années, s’inverser puisque ipv6 va aller en se démocratisant, selon le principe des vases communicants (pour x adresses ipv6 délivrées, une ipv4 libérée, x correspondant en gros à la moyenne de la taille des réseaux locaux qui auront fait leur migration) ?
Caricaturalement, si demain j’ai la possibilité de passer en ipv6 only, et que mon parc se compose de 5 machines, pour 5 adresses ipv6 délivrées par mon FAI, mon ip publique actuelle ipv4 redeviendra vacante, et tu multiplies ca par le nombre de personnes/entreprises qui franchiront le pas de la migration (quoique ca ne concernera les entreprises qu’en dernier a mon avis puisque ces dernières pour peu qu’elles hébergent des services accessibles à leurs clients via internet, devront se trainer les 2 protocoles un bon moment…)
Diminuer et se stabiliser à cause de la pénurie, possible. A cause de la progression d’IPv6, je n’y crois pas beaucoup. S’inverser, j’y crois encore moins. Il n’y aura pas de vases communicants, tout le monde gardera ses adresses IPv4 tant qu’il y aura du trafic IPv4 et aura des adresses IPv6 en plus.
@dric64 > Ce que tu n’a pas compris c’est qu’on s’en fout que tu utilise ou non ton adresse IPv4. Ton FAI a acheter un paquet d’adresses qui sont donc toutes considérées comme utilisées. Il ne va pas se mettre à les revendre au moment où chacun s’équipe en IPv6. Il va y avoir un transvasement dans un sens oui, mais dans l’autre c’est pas envisageable.
Les revendre, non, sauf si un “marché” des adresses IPv4 est créé, ce que certains souhaiteraient. Par contre un bloc d’adresses n’est pas attribué à vie à un FAI, il le loue et doit payer régulièrement un loyer et peut le rendre s’il n’en a plus besoin. Comme un nom de domaine.
sauf si des sociétés qui naitront prochainement en ont besoin une fois le pool ipv4 épuisé, pour assurer leur services aux possesseurs d’ipv6 ET ipv4 (puisque les 2 protocoles ne sont pas interconnectables directement, il faut qu’un des 2 pairs ait la double pile)… Qui te dit que ces sociétés ne chercheront pas à négocier des pools d’adresses à prix d’or pour pouvoir assurer leur business ?
C’est pas une question d’argent, hein ? L’IANA les donnait gratuitement les adresses, maintenant il font payer un forfait pour amortir leur coût de fonctionnement, mais le tarif est le même que tu demandes 1 adresses ou 100 adresses. Cependant, il ne te donneront pas 100 adresses si tu n’en a besoin que d’une (et qu’importe combien tu payes), et effectivement, si tu n’en as plus besoin il faudra les rendre…
Ce que vous oubliez, c’est que l’IPv6 ce n’est pas seulement plus d’adresses disponibles. C’est aussi certaines « features » en plus : prise en compte des flux prioritaires (vidéos, voix), chiffrement intégré, possibilité de contrôler le routage par la source. Donc on aura intérêt à tous y passer, même si c’est la pénurie d’adresse qui nous poussera à le faire d’abord (le reste, on sait se débrouiller sans pour les besoins actuels).
Salut,
Le sujet s’éloignait trop de iptables… J’ai coupé et envoyé dans pause-café.
Vous pouvez vous lâcher… 
bof, moi j’ai dit tout ce que j’avais à dire sur le sujet… comme on ne peut qu’imaginer des choses mais que personne n’en sait rien, en fait de ce qui va vraiment se passer… On verra le moment venu
[quote=“PascalHambourg”]Quel dommage de se priver d’IPv6 alors que ton FAI est l’un des rares en France qui le proposent (et le seul grand public). Quelle joie de pouvoir se connecter en IPv6 aux serveurs Debian, de faire ses mises à jour en IPv6, avec de vraies adresses globales pour tous les postes !
Pour info, j’ai l’IPv6 chez moi depuis des années et jusqu’à récemment ma passerelle ne faisait pas de filtrage IPv6 à part le blocage de certains ports car son noyau Linux ne supportait pas le suivi de connexion IPv6. Les postes du réseau local n’ont pas de pare-feu.
Faudra que je te file un jeu de règles ip6tables minimal pour que tu te sentes au chaud.[/quote]
Avoue (mais le feras-tu ? 
) que tu es quand même difficile à comprendre 
[quote=“PascalHambourg”]
2/ Si tu as activé l’IPv6 sur la Freebox, tu es à poil car ni la Freebox (même en mode routeur) ni iptables ne filtrent l’IPv6.[/quote]
Ricardo, qui n’a pas envie de se retrouver “à poil” te rassure en précisant qu’il n’a pas activé l’IPV6.
Ce à quoi tu lui réponds que c’est dommage ???
T’as donc envie que je me retrouve “à poil” 
À moins qu’il faille lire ta signature à ce moment là :005
Non, je dis qu’il est dommage de te priver d’IPv6 alors qu’il est disponible, pas d’être à poil. Enfin bon, quand je dis “à poil” ça ne concerne que les communications IPv6 évidemment, puisque le pare-feu contrôle les communications IPv4. Et des pirates en IPv6, il ne doit pas encore y en avoir des masses (par contre les services locaux qui écoutent par défaut en IPv6 en plus d’IPv4 deviennent de plus en plus nombreux). Comme je disais, quand mon filtrage IPv6 était ultra-minimal il ne m’est rien arrivé.
Mais si ça peut te rassurer, voici un jeu de règles ip6tables minimal pour un hôte (pas un routeur) qui n’autorise que les connexions sortantes et liées. En fait c’est quasiment comme en IPv4 avec iptables.
ip6tables -F
ip6tables -X
ip6tables -P INPUT DROP
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD DROP
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT -m state --state ESTABLISHED,RELATED ACCEPT -j ACCEPT
# jusque la, rien que du classique
# decommenter pour autoriser SSH en entree
#ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT
# pour permettre la resolution d'adresse dans le reseau local (equivalent d'ARP)
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbour-solicitation -m hl --hl-eq 255 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbour-advertisement -m hl --hl-eq 255 -j ACCEPT
# pour accepter les annonces de préfixe du routeur
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -m hl --hl-eq 255 -j ACCEPTQuels sont les avantages, concrets, pour un lambda comme moi, avec une station bureau traditionnelle, de muter en IPV6 
Faire avancer la cause.
La frime.
Avoir des problèmes de connectivité avec certains équipements non conformes et réseaux configurés avec les pieds (pas sûr que ce soit un avantage).
plus besoin de nat sur ta freebox ?
Si Ricardo n’a qu’un poste, il n’avait déjà pas besoin de NAT.
Mais tu as raison pour ceux qui ont plusieurs machines avec une seule adresse IPv4 publique et ont besoin de NAT, qui n’est malheusement pas la panacée et peut être un cauchemar avec certains protocoles et applications réseau.
[quote=“PascalHambourg”]Si Ricardo n’a qu’un poste, il n’avait déjà pas besoin de NAT.
Mais tu as raison pour ceux qui ont plusieurs machines avec une seule adresse IPv4 publique et ont besoin de NAT, qui n’est malheusement pas la panacée et peut être un cauchemar avec certains protocoles et applications réseau.[/quote]
Je ne comprends pas 
J’aurais peut être du dire port forwarding à la place de NAT.
Si sa freebox est en mode routeur, en ipv4, il est obligé de rediriger le trafic arrivant sur les ports de l’adresse publique vers les ports de l’adresse privée qui héberge le service en question (s’il fait du p2p, s’il héberge un serveur quelquonque, s’il veut faire marcher l’échange de fichier et la webcam sous amsn et j’en passe…), même s’il n’a qu’une seule machine derrière, sauf s’il la positionnée sur la dmz. Me trompe-je ?
Non, tu ne te trompes pas. Mais si Ricardo n’a qu’un poste, il n’a pas besoin de configurer sa Freebox en mode routeur. En mode normal, le poste récupère l’adresse IPv4 publique et pas besoin de NAT ni redirections ni DMZ.
Ce qui est n’est peut-être pas clair est que “mode routeur” de la Freebox = NAT.
EDIT : NAT, ce n’est pas seulement la redirection de ports (NAT destination) pour les connexions entrantes, mais aussi et surtout le “masquerading” (NAT source) pour les connexions sortantes.
D’accord je vois ce que tu veux dire.
Et tu préconises donc de ne pas (tout du moins, tu sous entend qu’il est inutile de) utiliser le “mode routeur”, si l’on a qu’un seul poste de connecté derrière la box ?
Il ne vaut pas mieux que ca soit la freebox qui se prenne au mieux les scans, au pire les attaques dans les dents, plutôt que l’ordi direct (bien que le nat ne soit pas une protection en elle même, ca reste un premier écran à franchir avant d’accéder au PC qui est derrière, et si aucun port n’est redirigé…) ?
Moi je le vois comme ça :
Le routeur nat, c’est un fossé entre WAN et LAN. Si t’arrives à le franchir (car il y a par exemple une règle de translation de port/adresse ext->int) alors ca ne protège plus rien. Mais s’il n’y a aucune règle, l’attaque se casse les dents sur le routeur, et ne va pas au delà, puisqu’aucun trafic entrant n’est redirigé vers l’intérieur du LAN.
Le firewall, c’est une grille. Même le trafic naté est filtré, et pourra être bloqué selon des critères définis dans les règles du pare feu.
Donc le routeur nat protège offre un minimum de protection (dans le sens ext->int uniquement) quand même. Non ?
edit : ok, je vois qu’il y a eu une discussion similaire à ce propos en début de sujet
[quote]
EDIT : NAT, ce n’est pas seulement la redirection de ports (NAT destination) pour les connexions entrantes, mais aussi et surtout le “masquerading” (NAT source) pour les connexions sortantes.[/quote]
On est bien d’accord.
Alors, ‘si’, bien que n’ayant plus beaucoup de cheveux, ils sont quand même nattés car :
J’ai une Freebox en mode routeur qui “renvoie” (J’ai peur de me gourer dans les termes 
) vers trois machines reliées en eth.
MAIS
deux des machines ne sont que rarement allumées, juste pour des essais de transfert fichiers ou essai de serveur pour l’une.
Donc, 95% du temps, j’ai une machine en fonction, reliée à la box. Cette machine est protégée par mon parefeu et n’est pas un serveur, au sens général (sauf bien sûr quand je la fais communiquer avec une autre en ssh).
Si un jour je décide de créer véritablement un serveur ouvert 7/7-24/24, j’aviserai non sans vous avoir demandé conseils auparavant.
Voilà ma vue de Ricardo/lambda.
Voici un article qui peut vous interesser