Re: [FRnOG] [TECH] NAT IPv6 dans Linux 3.7
Salut Mathieu, Le 14 déc. 2012 à 18:38, Mathieu Goessens geb...@poolp.org a écrit : On Wed, 12 Dec 2012 10:55:37 +0100, Emmanuel Thierry m...@sekil.fr wrote: Y a-t-il une justification particulière pour un NAT stateful ? Au hasard, comment tu implémentes un portail captif sans DNAT ? TPROXY est ton ami: http://git.kernel.org/?p=linux/kernel/git/stable/linux-stable.git;a=blob;f=Documentation/networking/tproxy.txt;h=7b5996d9357e017b8f05052522255a7405bf9248;hb=29594404d7fe73cd80eaa4ee8c43dcc53970c60e Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] NAT IPv6 dans Linux 3.7
On Wed, 12 Dec 2012 10:55:37 +0100, Emmanuel Thierry m...@sekil.fr wrote: Y a-t-il une justification particulière pour un NAT stateful ? Au hasard, comment tu implémentes un portail captif sans DNAT ? -- Mathieu Goessens IT consultant. geb...@poolp.org + 33 6 07 91 54 87 http://gebura.eu.org --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] NAT IPv6 dans Linux 3.7
On 14 Dec 2012, at 17:38, Mathieu Goessens geb...@poolp.org wrote: On Wed, 12 Dec 2012 10:55:37 +0100, Emmanuel Thierry m...@sekil.fr wrote: Y a-t-il une justification particulière pour un NAT stateful ? Au hasard, comment tu implémentes un portail captif sans DNAT ? Tu ne peux pas faire d'interception sans DNAT, transproxying par example, et c'est pourquoi nous utilisons FreeBSD qui le supporte. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] NAT IPv6 dans Linux 3.7
Bonjour, Le 11 déc. 2012 à 20:33, Samuel Thibault a écrit : Ça y est, Linux 3.7 est sorti, avec le support NAT IPv6: MASQUERADE, REDIRECT, NAT, NETMAP, FTP NAT, IRC NAT, SIP NAT, Amanda NAT, mais aussi NPT (Network Prefix translation), qui lui est stateless. Merci pour la news. A ce sujet, par mais aussi NPT (Network Prefix translation), qui lui est stateless, doit on comprendre que la cible MASQUERADE est stateful et qu'ils ont par ailleurs ajouté une cible NPT qui elle respecte la RFC 6296 ? Y a-t-il une justification particulière pour un NAT stateful ? Je n'ai pas suivi les discussions sur netdev, c'est difficile de s'y retrouver... Cordialement. Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] NAT IPv6 dans Linux 3.7
Merci pour la news.
A ce sujet, par mais aussi NPT (Network Prefix translation), qui lui est
stateless, doit on comprendre que la cible MASQUERADE est stateful et qu'ils
ont par ailleurs ajouté une cible NPT qui elle respecte la RFC 6296 ? Y
a-t-il une justification particulière pour un NAT stateful ?
Ils ont en fait rajoutés deux cibles pour la RFC 6296, SNPT et DNPT,
selon le sens que l'on souhaite nater. J'ai pas trouvé d'autre doc pour
l'utiliser que le code d'iptables, qui dit par exemple pour SNPT :
static void SNPT_help(void)
{
printf(SNPT target options:
\n
--src-pfx prefix/length\n
--dst-pfx prefix/length\n
\n);
}
Pour le NAT avec état, c'est tout pareil qu'en IPv4, il faut utiliser la
cible MASQUERADE. Il y a un début de justification dans la description
du module :
Masquerading is a special case of NAT: all outgoing connections are
changed to seem to come from a particular interface's address, and
if the interface goes down, those connections are lost. This is
only useful for dialup accounts with dynamic IP address (ie. your IP
address will be different on next dialup).
--
Florent.
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [FRnOG] [TECH] NAT IPv6 dans Linux 3.7
Emmanuel Thierry, le Wed 12 Dec 2012 10:55:37 +0100, a écrit : Le 11 déc. 2012 à 20:33, Samuel Thibault a écrit : Ça y est, Linux 3.7 est sorti, avec le support NAT IPv6: MASQUERADE, REDIRECT, NAT, NETMAP, FTP NAT, IRC NAT, SIP NAT, Amanda NAT, mais aussi NPT (Network Prefix translation), qui lui est stateless. Merci pour la news. A ce sujet, par mais aussi NPT (Network Prefix translation), qui lui est stateless, doit on comprendre que la cible MASQUERADE est stateful et qu'ils ont par ailleurs ajouté une cible NPT qui elle respecte la RFC 6296 ? MASQUERADE est forcément stateful, oui. Le NPT est annoncé comme étant RFC 6296, oui. Y a-t-il une justification particulière pour un NAT stateful ? Je ne sais pas, je n'ai pas suivi les discussions. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] NAT IPv6 dans Linux 3.7
Ca pour une nouvelle ! Depuis le temps que j'attendais ;) . Pour répondre à ce besoin, je suis passé en BSD depuis (en l'occurrence Open), qui gère ca nativement depuis un bon bout de temps (peut être pas à un aussi haut niveau par contre). N'en déplaise au ferrus défenseurs du peer2peer, mais le NAT peut-être en v6 utile, surtout dans un cas (enfin de mon point de vue). Par exemple, quand tu as deux connexions ADSL grand public avec IPv6 actif et que tu veux partager les flux dessus : genre, le HTTP d'un côté, le reste de l'autre, tout en conservant de l'adressage public pour ton lan (ca se passe comment quand ton paquet revient ?). Rares sont les particuliers et PME qui ont des sessions BGP ouvertes avec leurs FAI ;) Et même dans ce cas, ca répond pas totalement au besoin. Christophe. Samuel Thibault a écrit : Ça y est, Linux 3.7 est sorti, avec le support NAT IPv6: MASQUERADE, REDIRECT, NAT, NETMAP, FTP NAT, IRC NAT, SIP NAT, Amanda NAT, mais aussi NPT (Network Prefix translation), qui lui est stateless. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
