Re: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-08 Par sujet Rémy Sanchez
On Sunday 03 July 2011 22:39:53 Stephane Bortzmeyer wrote: http://code.google.com/p/napt66/ Je ne l'ai pas testé. Fail : c'est Network Address PORT Translation. Le même qu'en IPv4 : « IPv6-to-IPv6 Network Address Port Translation (NAPT66) is a stateful IPv6 NAT mechanism. Just like IPv4

[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-08 Par sujet Stephane Bortzmeyer
On Fri, Jul 08, 2011 at 03:38:02PM +0200, Rémy Sanchez remy.sanc...@hyperthese.net wrote a message of 39 lines which said: http://code.google.com/p/napt66/ Je ne l'ai pas testé. Fail : c'est Network Address PORT Translation. Ah zut, j'avais pas fait attention. Je corrige mon

Re: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-04 Par sujet Radu-Adrian Feurdean
On Sun, 03 Jul 2011 23:46:28 +0200, e-t172 e-t...@akegroup.org said: À l'époque ou la plupart des gens avaient une adresse publique sur leur PC, les attaques se faisaient bien par connexion directe (exemple : Blaster). Si, avec IPv6, tout le monde récupère à nouveau des adresses publiques

Re: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-04 Par sujet Benoit Garcia
Bonjour, 2011/7/3 e-t172 e-t...@akegroup.org Il est un peu facile cet argument. Si les attaques ne se font pas par connexion IP directe c'est justement parce que le pékin moyen (ou plutôt devrais-je dire « victime moyenne ») a une box de FAI qui, justement, fait du NAT et ne laisse donc

[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-04 Par sujet Stephane Bortzmeyer
On Mon, Jul 04, 2011 at 08:37:47AM +0200, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote a message of 17 lines which said: Parce qu'en v6 on peut toujours scanner tout l'espace d'addressage plusieurs fois par mois, comme en v4 ? C'est plus dur en v6 mais pas impossible. RFC 5157

Re: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-04 Par sujet e-t172
On 07/04/2011 08:45 AM, Benoit Garcia wrote: Personnellement, je suis un fervent partisan du End-to-End Principle, et par conséquent, je milite pour que ce genre de filtrage de connexions se fasse sur la machine finale, pas sur un nœud du réseau, parce que ça permet d'utiliser un pare-feu

[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-04 Par sujet Radu-Adrian Feurdean
On Mon, 4 Jul 2011 09:04:31 +0200, Stephane Bortzmeyer bortzme...@nic.fr said: C'est plus dur en v6 mais pas impossible. RFC 5157 http://www.bortzmeyer.org/5157.html Sauf mour la mehtode P2P, ce n'est pas comme ca que l'ordi familial de la famille Michu fonctionne. Les privacy extensions

Re: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-04 Par sujet Alain RICHARD
Le 4 juil. 2011 à 08:37, Radu-Adrian Feurdean a écrit : Parce qu'en v6 on peut toujours scanner tout l'espace d'addressage plusieurs fois par mois, comme en v4 ? si tu veux une adresse fiable, il te suffit de faire un spam avec une belle image : le client se fera un plaisir de venir chez

[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Stephane Bortzmeyer
On Thu, Jun 30, 2011 at 08:11:54PM -0700, Michel Py mic...@arneill-py.sacramento.ca.us wrote a message of 19 lines which said: j'ai décrit en détail ce mécanisme (soumis draft-py-multi6-mhtp-00.txt, qui a évolué en draft-py-mhap-01a.txt). Ni tools.ietf.org, ni le Datatracker ne semblent

[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Stephane Bortzmeyer
On Fri, Jul 01, 2011 at 09:53:49AM +0200, Raphaël Jacquot sxp...@sxpert.org wrote a message of 29 lines which said: j'y vois au moins trois inconvénients Mathieu Goessens a bien répondu à cet über-trollage. J'ajoute : * ca ne sécurise pas mieux que le NAT en v4 Il faudrait lire le RFC qui

[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Stephane Bortzmeyer
On Fri, Jul 01, 2011 at 09:59:32AM +0200, MM mm...@palpix.com wrote a message of 23 lines which said: ça peut éviter pas mal de bordel si le CPE fait un minimum pour que les réseaux domestiques fuitent, non ? La question est discutée. L'état de l'art est dans le RFC 6092

[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Stephane Bortzmeyer
On Fri, Jul 01, 2011 at 02:17:03PM +0200, Alain Richard alain.rich...@equation.fr wrote a message of 160 lines which said: un linux implémentant ce RFC. http://code.google.com/p/napt66/ Je ne l'ai pas testé. --- Liste de diffusion du FRnOG http://www.frnog.org/

[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Stephane Bortzmeyer
On Fri, Jul 01, 2011 at 07:20:33AM -0700, Michel Py mic...@arneill-py.sacramento.ca.us wrote a message of 18 lines which said: Si tu as une raison valable d'être multihomé, Personnellement, je pense que le droit au multihomage est un droit de l'homme fondamental. Plus sérieusement,

[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Stephane Bortzmeyer
On Fri, Jul 01, 2011 at 10:19:02AM +0200, Raphaël Jacquot sxp...@sxpert.org wrote a message of 21 lines which said: auquel cas, c'est un firewall configurable par l'utilisateur qu'il faut mettre dans le CPE, et pas ce bricolage de NAT C'est précisement ce que dit le RFC 6296 : il faut

[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Stephane Bortzmeyer
On Fri, Jul 01, 2011 at 08:28:44AM +0200, Guillaume Barrot guillaume.bar...@gmail.com wrote a message of 44 lines which said: truc comme lisp (lui aussi en draft) Justement, NPTv6 n'est pas en Internet-Draft, le RFC est sorti. Compte-tenu du travail que représente le déploiement de LISP (et

[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Stephane Bortzmeyer
On Sun, Jul 03, 2011 at 09:37:46PM +0100, Thomas Mangin thomas.man...@exa-networks.co.uk wrote a message of 8 lines which said: http://tools.ietf.org/id/draft-py-multi6-mhtp-00.txt ? Je n'avais cherché que le plus récent, draft-py-mhap, et rien trouvé. --- Liste de

Re: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Thomas Mangin
Plus sérieusement, pourquoi vouloir limiter cette solution (le multihomage) à ceux qui ont « une raison valable » ? À la maison, je suis multihomé (3G Bouygues, 3G Orange et ADSL Free) et, plus d'une fois, cela m'a sauvé la mise. Moi aussi je suis multihome, DSL et 3G backup avec les même IPs

Re: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet William Gacquer
C'est pas multihome au sens IP ça. William Gacquer Le 3 juil. 2011 à 22:48, Thomas Mangin thomas.man...@exa-networks.co.uk a écrit : Plus sérieusement, pourquoi vouloir limiter cette solution (le multihomage) à ceux qui ont « une raison valable » ? À la maison, je suis multihomé (3G

[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Stephane Bortzmeyer
On Fri, Jul 01, 2011 at 02:07:49PM +0200, Alain Richard alain.rich...@equation.fr wrote a message of 226 lines which said: f - La plupart des petits utilisateurs s'appuient sur le NAT44 pour sécuriser leur accès C'est un fait, mais cela n'empêche pas qu'ils ont tort et sérieusement tort.

[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Stephane Bortzmeyer
On Sat, Jul 02, 2011 at 11:19:02AM -0700, Michel Py mic...@arneill-py.sacramento.ca.us wrote a message of 62 lines which said: un hôte IPv6 peut avoir plusieurs adresses IPv6; tu crées un VLAN pour chaque FAI IPv6, et chaque PC a une adresse pour chaque FAI (dans le préfixe fourni par le

RE: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet Michel Py
Stephane Bortzmeyer a écrit: 2) NPT v6 ne prétend pas sécuriser mieux que le NAT v4, le RFC dit clairement que NPT v6 ne sécurise pas du tout ! (Ce n'est pas son rôle.) On est bien d'accord, et c'est du en grande partie au fait que les ports ne sont pas utilisés et qu'il n'y a pas d'état.

Re: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation

2011-07-03 Par sujet e-t172
On 2011-07-03 22:54, Stephane Bortzmeyer wrote: On Fri, Jul 01, 2011 at 02:07:49PM +0200, Alain Richardalain.rich...@equation.fr wrote a message of 226 lines which said: f - La plupart des petits utilisateurs s'appuient sur le NAT44 pour sécuriser leur accès C'est un fait, mais cela