Re: [FRnOG] [TECH] NAT IPv6 dans Linux 3.7
Salut Mathieu, Le 14 déc. 2012 à 18:38, Mathieu Goessens a écrit : > > On Wed, 12 Dec 2012 10:55:37 +0100, Emmanuel Thierry wrote: >> Y a-t-il une justification particulière pour un NAT stateful ? > > Au hasard, comment tu implémentes un portail captif sans DNAT ? > TPROXY est ton ami: http://git.kernel.org/?p=linux/kernel/git/stable/linux-stable.git;a=blob;f=Documentation/networking/tproxy.txt;h=7b5996d9357e017b8f05052522255a7405bf9248;hb=29594404d7fe73cd80eaa4ee8c43dcc53970c60e Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] NAT IPv6 dans Linux 3.7
On 14 Dec 2012, at 17:38, Mathieu Goessens wrote: > On Wed, 12 Dec 2012 10:55:37 +0100, Emmanuel Thierry wrote: >> Y a-t-il une justification particulière pour un NAT stateful ? > > Au hasard, comment tu implémentes un portail captif sans DNAT ? Tu ne peux pas faire d'interception sans DNAT, transproxying par example, et c'est pourquoi nous utilisons FreeBSD qui le supporte. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] NAT IPv6 dans Linux 3.7
On Wed, 12 Dec 2012 10:55:37 +0100, Emmanuel Thierry wrote: Y a-t-il une justification particulière pour un NAT stateful ? Au hasard, comment tu implémentes un portail captif sans DNAT ? -- Mathieu Goessens IT consultant. geb...@poolp.org + 33 6 07 91 54 87 http://gebura.eu.org --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] NAT IPv6 dans Linux 3.7
Emmanuel Thierry, le Wed 12 Dec 2012 10:55:37 +0100, a écrit : > Le 11 déc. 2012 à 20:33, Samuel Thibault a écrit : > > > Ça y est, Linux 3.7 est sorti, avec le support NAT IPv6: MASQUERADE, > > REDIRECT, NAT, NETMAP, FTP NAT, IRC NAT, SIP NAT, Amanda NAT, mais aussi > > NPT (Network Prefix translation), qui lui est stateless. > > Merci pour la news. > A ce sujet, par "mais aussi NPT (Network Prefix translation), qui lui est > stateless", doit on comprendre que la cible MASQUERADE est stateful et qu'ils > ont par ailleurs ajouté une cible NPT qui elle respecte la RFC 6296 ? MASQUERADE est forcément stateful, oui. Le NPT est annoncé comme étant RFC 6296, oui. > Y a-t-il une justification particulière pour un NAT stateful ? Je ne sais pas, je n'ai pas suivi les discussions. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] NAT IPv6 dans Linux 3.7
> Merci pour la news. > A ce sujet, par "mais aussi NPT (Network Prefix translation), qui lui est > stateless", doit on comprendre que la cible MASQUERADE est stateful et qu'ils > ont par ailleurs ajouté une cible NPT qui elle respecte la RFC 6296 ? Y > a-t-il une justification particulière pour un NAT stateful ? Ils ont en fait rajoutés deux cibles pour la RFC 6296, SNPT et DNPT, selon le sens que l'on souhaite nater. J'ai pas trouvé d'autre doc pour l'utiliser que le code d'iptables, qui dit par exemple pour SNPT : static void SNPT_help(void) { printf("SNPT target options:" "\n" " --src-pfx prefix/length\n" " --dst-pfx prefix/length\n" "\n"); } Pour le NAT avec état, c'est tout pareil qu'en IPv4, il faut utiliser la cible MASQUERADE. Il y a un début de justification dans la description du module : Masquerading is a special case of NAT: all outgoing connections are changed to seem to come from a particular interface's address, and if the interface goes down, those connections are lost. This is only useful for dialup accounts with dynamic IP address (ie. your IP address will be different on next dialup). -- Florent. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] NAT IPv6 dans Linux 3.7
Bonjour, Le 11 déc. 2012 à 20:33, Samuel Thibault a écrit : > Ça y est, Linux 3.7 est sorti, avec le support NAT IPv6: MASQUERADE, > REDIRECT, NAT, NETMAP, FTP NAT, IRC NAT, SIP NAT, Amanda NAT, mais aussi > NPT (Network Prefix translation), qui lui est stateless. Merci pour la news. A ce sujet, par "mais aussi NPT (Network Prefix translation), qui lui est stateless", doit on comprendre que la cible MASQUERADE est stateful et qu'ils ont par ailleurs ajouté une cible NPT qui elle respecte la RFC 6296 ? Y a-t-il une justification particulière pour un NAT stateful ? Je n'ai pas suivi les discussions sur netdev, c'est difficile de s'y retrouver... Cordialement. Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] NAT IPv6 dans Linux 3.7
Ca pour une nouvelle ! Depuis le temps que j'attendais ;) . Pour répondre à ce besoin, je suis passé en BSD depuis (en l'occurrence Open), qui gère ca nativement depuis un bon bout de temps (peut être pas à un aussi haut niveau par contre). N'en déplaise au ferrus défenseurs du peer2peer, mais le NAT peut-être en v6 utile, surtout dans un cas (enfin de mon point de vue). Par exemple, quand tu as deux connexions ADSL grand public avec IPv6 actif et que tu veux partager les flux dessus : genre, le HTTP d'un côté, le reste de l'autre, tout en conservant de l'adressage public pour ton lan (ca se passe comment quand ton paquet revient ?). Rares sont les particuliers et PME qui ont des sessions BGP ouvertes avec leurs FAI ;) Et même dans ce cas, ca répond pas totalement au besoin. Christophe. Samuel Thibault a écrit : Ça y est, Linux 3.7 est sorti, avec le support NAT IPv6: MASQUERADE, REDIRECT, NAT, NETMAP, FTP NAT, IRC NAT, SIP NAT, Amanda NAT, mais aussi NPT (Network Prefix translation), qui lui est stateless. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] NAT IPv6 dans Linux 3.7
Ça y est, Linux 3.7 est sorti, avec le support NAT IPv6: MASQUERADE, REDIRECT, NAT, NETMAP, FTP NAT, IRC NAT, SIP NAT, Amanda NAT, mais aussi NPT (Network Prefix translation), qui lui est stateless. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/