Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Le noyau Linux 3.7 fait un pas important vers le support générique d’ARM

Essentiellement pour les serveurs actuellement

Le noyau Linux 3.7 fait un pas important vers le support générique d'ARM

Le 12 décembre 2012 à 12h14

Comme d’habitude, c’est Linus Torvalds qui annonce la disponibilité d’un nouveau noyau Linux. Estampillée 3.7, la dernière version est une étape importante dans le support des architectures ARM.

xps dell linux

 

Le nouveau noyau Linux 3.7 est disponible en version finale. Comme prévu, il réalise un pas important vers l’architecture ARM en supportant de manière générique les puces qui l'exploitent. Conséquence : le travail des développeurs sera largement facilité lorsqu’ils voudront porter une distribution vers l’architecture générale ou spécifique à un modèle particulier.

 

Cela devrait considérablement aider les éditeurs de certaines solutions logicielles à adapter leurs produits. Dans plusieurs cas, cela devrait permettre d’en finir avec la maintenance de plusieurs noyaux parallèles. Notez cependant que, comme le souligne Ars Technica, le nouveau noyau profitera surtout dans un premier temps aux serveurs. Les travaux effectués devraient tout de même bénéficier à terme à Android, même si les optimisations spécifiques à certaines puces seront toujours de mise.

 

Parmi les autres nouveautés, on trouve plusieurs éléments liés d’ailleurs à la plateforme ARM. Par exemple, les prémices du support ARM64 sont en place. Notez cependant que les premières puces ARM gérant le 64 bits ne sont pas attendues avant 2014. Le nouveau noyau inclut également le portage de l’hyperviseur Xen pour ARM.

 

Le noyau 3.7 présente en outre, et comme d’habitude, des améliorations sur les pilotes vidéo, notamment un sérieux travail de restructuration du code de Nouveau, le pilote libre pour les GPU NVIDIA. Sont présentes enfin des améliorations diverses sur les systèmes de fichiers Btrfs et Ext4,  sur le réseau (notamment la gestion du NAT en IPv6) ou encore sur l’UAPI (Userspace API).

 

Le noyau sera prochainement distribué dans les dépôts idoines de chaque distribution Linux.

Commentaires (78)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







unicyclon a écrit :



Ce qui répond principalement à un objectif de limiter l’utilisation d’adresses IPv4.



De manière générale, avec tes appareils mobiles, si tu te connectes sur des réseaux publics, l’attaque peut très bien venir du gars qui est connecté au même réseau que toi 20 mètres plus loin.







FAUX !! On a essayé la manip suivante :

Server ssh sur un SmartPhone. Accés impossible depuis le SmartPhone de la même celule.







unicyclon a écrit :



À partir du moment où tu ne contrôles pas le réseau sur lequel tu te connectes, le firewall n’est pas là pour faire joli. Si tu es si concerné que ça par les problématiques de sécurité, je pense que tu devrais le comprendre assez facilement…







FAUX !! S’il n’y a pas de connexions ouvertes par des applis (ou des services) de ton PC, on peut s’en passer. L’intérêt du Firewall est plutôt de filtrer les connexions sortantes créés par un virus, un malware, ou word par ex !



Pour le filtrage des connexion entrantes, avoir la notion public/privé via le NAT est un mécanisme assez sur. Puisqu’on ne connait pas la valeur de l’adresse ciblée.



Enfin, nous sommes assez loin du sujet de départ …



votre avatar







WereWindle a écrit :



Je ne comprends pas comment font les dev dans ce cas là ? Ils préparent des bouts de code à partir des spec fournies par ARM pour n’avoir que du débogage à faire le moment venu ? Comment est-ce testé ?(vraie question)







J’ajouterai à ce qui a déjà été dit qu’il doit y avoir des émulations hardware sur FPGA de ces processeurs.

Un ARM, ce n’est pas très gros et ça s’émule bien sur FPGA (à vitesse moindre cependant)


votre avatar

Ce que je disais ici (sans explication d’ailleurs et un peu vite) :







tschaggatta a écrit :



? Euh donc tu voudrais que les adresses d’un LAN soient routables sur un WAN ? <img data-src=" />

Je connais des vilains qui en baveraient déjà…







‘était en réponse à :







unicyclon a écrit :



NAT sur IPv6 ?

Moi qui croyais que l’IPv6 serait l’occasion d’enfin se débarasser de cette ignominie…



<img data-src=" />





Pas très argumenté au départ mis j’ai compris ce qu’il voulait dire au fil de la discussion.



Et ton :







fred42 a écrit :



Voir par exemple ici







J’en ai parlé notamment la (enfin cité le Mr):





tschaggatta a écrit :



Un petit article de Bortzmeyer sur les avantages du NAT (pas bcp) et ces inconvénients.

http://www.bortzmeyer.org/5902.html





Avec la conclusion :





Maintenant, place à la conclusion. La section 4.1 résume les pensées de l’IAB : le NAT est une mauvaise idée, car il est très difficilement compatible avec la transparence du réseau (RFC 4924), celle-ci étant la clé du succès de l’Internet. Mais certains problèmes (comme le Multihoming) ne sont pas encore traités par l’IETF. Il ne suffit donc pas de dire que le NAT est négatif, il faut encore travailler à fournir des solutions pour les problèmes qu’il semble traiter. Dans tous les cas, toute évaluation d’une nouvelle norme (que ce soit du NAT ou pas) devrait se faire en priorité sur le critère de la transparence du réseau aux applications.





Je pense donc qu’on est relativement d’accord…


votre avatar







psn00ps a écrit :



Perdu pour une fois<img data-src=" />

La Freebox v4 fait du nat, pas firewall (en même temps rester avec une v4 alors que la v5 est gratos<img data-src=" />)





J’ai bien parlé d’un routeur de qualité. <img data-src=" />


votre avatar







Zic0 a écrit :



FAUX !! S’il n’y a pas de connexions ouvertes par des applis (ou des services) de ton PC, on peut s’en passer. L’intérêt du Firewall est plutôt de filtrer les connexions sortantes créés par un virus, un malware, ou word par ex !



Pour le filtrage des connexion entrantes, avoir la notion public/privé via le NAT est un mécanisme assez sur. Puisqu’on ne connait pas la valeur de l’adresse ciblée.





Euh ????? t’as pas du bien comprendre l’usage d’un FW et Le NAT sécurisé ????



lien





En creusant un peu, on peut trouver deux propriétés du NAT qui ont un rapport avec la sécurité. La première est le fait de dissimuler partiellement le réseau, sa structure et les machines qui s’y connectent (section 2.4). L’idée est que, sans faire reposer toute la sécurité du réseau sur cette dissimulation, on peut toutefois se dire qu’il n’y a aucune raison que le monde entier puisse analyser facilement le réseau, ce qui faciliterait la préparation d’une éventuelle attaque. Ainsi, le NAT permet de rendre plus difficile le recensement des machines (section 2.4.1). Cachées derrière le routeur NAT, les machines ne sont plus accessible à un comptage, par exemple. Dans ce domaine, la plupart des administrateurs réseau surestiment beaucoup les protections fournies par le NAT. Un article comme « A technique for counting NATted hosts » montre bien que le NAT n’empêche nullement le recensement des machines. Des mécanismes de NAT plus complexes pourraient permettre de limiter certaines des attaques que décrit Bellovin (pas celles par fingerprinting, par exemple) mais ils seront aussi plus difficiles à traverser pour des services comme SIP ou SCTP. La règle traditionnelle s’applique ici : les progrès de la sécurité se font presque toujours au détriment de la facilité d’usage


votre avatar







tschaggatta a écrit :



J’en ai parlé notamment la (enfin cité le Mr):



Avec la conclusion :



Je pense donc qu’on est relativement d’accord…







Oui, on semble d’accord.



Désolé, mais quand j’ai vu le nombre de personnes qui laissaient entendre que le NAT rimait avec sécurité, j’ai répondu à plusieurs sans tout lire et j’ai cru comprendre (à tord) que tu en faisais partie.


votre avatar







Zic0 a écrit :



FAUX !! On a essayé la manip suivante :

Server ssh sur un SmartPhone. Accés impossible depuis le SmartPhone de la même celule.





Et ça te donne la certitude qu’il en est de même chez un autre opérateur ? Sur une autre cellule ? Quand tu te connectes sur un Hotspot Wi-Fi public ? Que leur NAT est bien configuré et le restera ?



La sécurité est une affaire de cas généraux. Pas de cas particuliers.

Et surtout, la sécurité implique de ne jamais faire confiance à un tiers.







Zic0 a écrit :



FAUX !! S’il n’y a pas de connexions ouvertes par des applis (ou des services) de ton PC, on peut s’en passer. L’intérêt du Firewall est plutôt de filtrer les connexions sortantes créés par un virus, un malware, ou word par ex !





L’intérêt d’un firewall est de filtrer les connexions tout court. Ou plutôt les paquets. Peu importe qu’ils soient entrants ou sortants… Ou alors t’as pas compris ce qu’était un firewall.



L’intérêt d’un NAT, par contre, n’est absolument pas d’apporter une quelconque sécurité, d’autant plus que cela est largement surévalué, comme certains l’ont très bien dit avant moi. C’est juste d’économiser des IPs. Ce qui est passablement inutile avec l’IPv6.


votre avatar







psn00ps a écrit :



Perdu pour une fois<img data-src=" />

La Freebox v4 fait du nat, pas firewall (en même temps rester avec une v4 alors que la v5 est gratos<img data-src=" />)





La V5 ne fait pas firewall non plus ou je n’ai pas trouvé où cela se configure…



Et pour la V6, je n’ai pas l’impression qu’elle en ait un quand je cherche l’information.


votre avatar







fred42 a écrit :



La V5 ne fait pas firewall non plus ou je n’ai pas trouvé où cela se configure…



Et pour la V6, je n’ai pas l’impression qu’elle en ait un quand je cherche l’information.



La Freebox Révolution (server) fait NAT, relai DNS et firewall.


votre avatar

“Le noyau sera prochainement distribué dans les dépôts idoines de chaque distribution Linux.”



Prochainement, comme vous y allez, ma mageia est toujours en 3.3.8 !

Non, ils ne se précipitent pas pour mettre les nouveaux noyaux à dispo, et puis ils sautent des versions.

mais enfin, sur mon pc standard je vois généralement pas la différence entre une ancienne et une nouvelle version.

votre avatar

.





raymondp a écrit :



“Le noyau sera prochainement distribué dans les dépôts idoines de chaque distribution Linux.”



Prochainement, comme vous y allez, ma mageia est toujours en 3.3.8 !

Non, ils ne se précipitent pas pour mettre les nouveaux noyaux à dispo, et puis ils sautent des versions.

mais enfin, sur mon pc standard je vois généralement pas la différence entre une ancienne et une nouvelle version.





Fedora : 3.6.9. <img data-src=" />


votre avatar

NAT sur IPv6 ?

Moi qui croyais que l’IPv6 serait l’occasion d’enfin se débarasser de cette ignominie…



<img data-src=" />

votre avatar

votre avatar

Ouai en fait je viens de voir, cette innovation est simplement ajouter le support pour toutes les architectures, et choisir celle qu’on veut en passant un fichier de conf au noyau à travers le boot loader. Ca peut être pratique mais je pense surtout que c’est alourdir le noyau pour pas grand chose.



Parcontre pour le debug ça peut être très très pratique, ça évite de recompiler plein de fois le noyau quand on développe le support pour un nouveau matériel…

votre avatar

Et moi (qui suis sur une freebox revolution) et donc a priori en ip V6, on peux voir mon pc sur internet ?



Mon PC et mon NAS sur le LAN et ma freebox fait la jonction avec le WAN…

votre avatar







Holly Brius a écrit :



J’veux pas dire, mais je fais largement confiance au gens qui rédigent les RFC pour ce genre de chose…





Je dis pas que la NFC est stupide, juste qu’elle est largement inutile, sauf éventuellement dans certains cas très particuliers.



Genre tu as un gros LAN, tu as pas envie de changer les IPs statiques de tous tes postes si tu changes de FAI demain. Là, oui, ça peut être utile. Et encore, je dirais que ça se discute, vu que c’est le boulot d’un DNS de simplifier ça.



Par contre, ce qui me semble absurde, c’est de justifier l’utilisation du NAT pour des raisons sécuritaires. Le NAT n’a rien à voir avec la sécurité, mais avec l’architecture du réseau.



Le but de l’IPv6 est de rendre inutile l’usage du NAT (sauf dans les cas où ce serait nécessaire, et j’en vois pas beaucoup, voire aucun pour un réseau domestique). L’idée est de rendre possible la communication entre n’importe quelle machine connectée sauf si une règle de sécurité spécifique l’interdit. Et ça, c’est le boulot du firewall. Pas un choix d’architecture.



Le NAT rajoute de la complexité. Le NAT rajoute de la latence. Le NAT casse l’architecture du réseau. Le NAT complexifie l’usage de technos type VoIP / P2P. Tout ça pour n’utiliser qu’un de ses effets de bord ? Bof quoi.


votre avatar







Rush a écrit :



Déjà chez moi c’est un serveur, une fonction donc un routeur + un firewall.







Tu peux utiliser autant de serveurs que tu veux, pour moi la vraie sécurité de base, ca reste un firewall sur le routeur qui assure la liaison avec le reste du monde.



Le NAT pour remplacer un firewall, j’espère vraiment que cette fausse bonne idée mourra avec l’ipv4.







raoudoudou a écrit :



La sécurité, c’est pas forcément empêcher les intrusions, c’est aussi t’empêcher de faire des conneries de ton côté <img data-src=" />



Le NAT, c’est la crèche si tu veux. Et toi t’es le bébé







Je veux bien te croire. Il y a peut etre de l’interet a faire de la translation d’adresse mais je t’avoue avoir du mal a les imaginer…


votre avatar







unicyclon a écrit :



Plus un serveur DHCP, plus un récurseur DNS, plus une cafetière, plus un point d’accès Wi-Fi, … ? Chacun son truc, si t’as du courant (et par extension des sous) à perdre… Bref.



Par contre, quelqu’un m’explique, à partir du moment où il a un firewall (que je suppose bien configuré), l’intérêt d’un NAT en IPv6 ? Parce que les inconvénients, j’en ai à la pelle. Mais pour le reste…





3 Raspberry Pi, ça ne consomme rien en électricité et je n’ai pas besoin de DHCP ni de WI-FI pour chez moi.



Quand à l’intérêt de la NAT, la norme PCI DSS l’explique en faisant référence à l’isolation du réseau. Autant la NAT a été créé pour palier au manque d’IP public autant elle est nécessaire pour cacher les IP privés utilisés en local. Une Unique Local Addresses en IPv6 n’est pas routé à moins qu’un peer l’autorise spécifiquement. En gros sécurise chez toi et ne fait pas confiance aux autres.


votre avatar

Je pensais aussi que le NAT n’existait qu’à cause de la faible quantité d’IP disponibles, donc je suis surpris de le voir en IPV6.

D’un autre coté, il serait dommage que la nouvelle norme perde des fonctionnalités par rapport à la précédente… après tout il peut etre difficile d’imaginer tous les usages que pourront faire de la norme toutes les machines de la planète…



AU passage, Unicyclon, ton intervention est très intéressante :)



Maintenant je ne suis pas un spécialiste du réseau, et j’ai du NAT chez moi. Bien sur, quand je configure, ça fonctionne une fois sur 2 (des applis en DMZ ont des problèmes, donc il faut bidouiller pour faire fonctionner jusqu’à trouver la bonne config… et recommencer au prochain programme qui passe mal ^^). Donc je reconnais que c’est souvent chiant. Maintenant, du point de vue infrastructure, en quoi est-ce une “ignominie” pour le coeur de réseau?



Sinon, en terme de sécurité, quel est l’apport reel du NAT par rapport à un firewall, en effet? On peut considérer que le FW rendrait invisible les machines, tout en gardant la possibilité d’avoir deux serveurs écoutant sur le port 80 chez soi (puisqu’on aura 2 vraies IP) qu’on peut autoriser sur le FW ou bloquer. Apres tout sur le firewall je peux tout bloquer de l’exterieur, sauf sur telle ou telle machine, et donc rendre la machine invisible non? si les paquets exterieur-&gt;interieur sont rejetés, comment l’attaquant sait qu’il y a une machine autre que le firewall et le serveur qui répond?

votre avatar







unicyclon a écrit :



Le NAT rajoute de la complexité. Le NAT rajoute de la latence. Le NAT casse l’architecture du réseau. Le NAT complexifie l’usage de technos type VoIP / P2P. Tout ça pour n’utiliser qu’un de ses effets de bord ? Bof quoi.





Je rappellerai que le viagra est à l’origine un médicament contre l’angine de poitrine… <img data-src=" />



Pour le reste je suis d’accord : le NAT répond à la rareté relative des adresses IP en V4, IPV6 repousse loin cette pénurie et donc il faudrait arrêter de prendre une basse pour jouer du piano <img data-src=" />





Par exemple, les prémices du support ARM64 sont en place. Notez cependant que les premières puces ARM gérant le 64 bits ne sont pas attendues avant 2014.



Je ne comprends pas comment font les dev dans ce cas là ? Ils préparent des bouts de code à partir des spec fournies par ARM pour n’avoir que du débogage à faire le moment venu ? Comment est-ce testé ?(vraie question)


votre avatar







Ahrkam a écrit :



Et moi (qui suis sur une freebox revolution) et donc a priori en ip V6, on peux voir mon pc sur internet ?



Mon PC et mon NAS sur le LAN et ma freebox fait la jonction avec le WAN…







Je pense que oui. Mais fait le test avec ton adresse Ipv6 de ton PC et un scanner nmap online.



Certes c’est plus tout récent mais : http://blog.koreus.com/freebox-routeur-ipv6/



votre avatar







Rush a écrit :



Quand à l’intérêt de la NAT, la norme PCI DSS l’explique en faisant référence à l’isolation du réseau. Autant la NAT a été créé pour palier au manque d’IP public autant elle est nécessaire pour cacher les IP privés utilisés en local. Une Unique Local Addresses en IPv6 n’est pas routé à moins qu’un peer l’autorise spécifiquement. En gros sécurise chez toi et ne fait pas confiance aux autres.





La norme PCI DSS (dont je me suis tapé les docs il y a pas si longtemps, et j’en suis sorti vivant, YAY!) n’impose à aucun moment le NAT. Pas plus d’ailleurs que l’usage de plages d’IPs publiques non routées, ou que l’utilisation d’adresses RFC1918 (pour l’IPv4). Et je dirais que de ces 3 choix (4, en fait, avec le firewall), le NAT est bien la pire des options.



Un firewall (que la norme PCI DSS impose par contre) répond bien à cette problématique d’exposition des adresses depuis l’extérieur. De même qu’un simple null-route sur le routeur. Ou qu’une suppression de l’annonce BGP correspondante si t’es sur un gros réseau. Mais bon, si on aime se compliquer la vie…


votre avatar







Zic0 a écrit :



Pour le coeur du réseau, le NAT est certainement un ignominie. Mais le NAT offre un certain niveau de sécurité en permettant qu’un réseau local ne soit pas totalement publié sur Internet.



<img data-src=" />Le NAT n’a jamais été pensé pour offrir de la sécurité mais pour pallier au manque d’adresses IPV4.

C’est un firewall qu’il faut pour de la sécurité et non un manque d’implémentation dans ce mécanisme.





unicyclon a écrit :



Le NAT rajoute de la complexité. Le NAT rajoute de la latence. Le NAT casse l’architecture du réseau. Le NAT complexifie l’usage de technos type VoIP / P2P. Tout ça pour n’utiliser qu’un de ses effets de bord ? Bof quoi.



+1000


votre avatar

en IPV6, une interface peux avoir plusieurs adresses. Le cas typique est une adresse local non routable, donc masquer de l’extérieur. Et on adresse public dont 64 bits peuvent être aléatoire et changer toutes les 24H. Donc pas besoin de NAT pour masquer son réseau local.



selon moi le NAT IPV6 se justifie dans le cas de pont IPV6 - IPV4 (ce que fait la freebox grace a 6rd https://fr.wikipedia.org/wiki/6rd )

votre avatar

Un petit article de Bortzmeyer sur les avantages du NAT (pas bcp) et ces inconvénients.

http://www.bortzmeyer.org/5902.html



Avec une belle conclusion :



Maintenant, place à la conclusion. La section 4.1 résume les pensées de l’IAB : le NAT est une mauvaise idée, car il est très difficilement compatible avec la transparence du réseau (RFC 4924), celle-ci étant la clé du succès de l’Internet. Mais certains problèmes (comme le Multihoming) ne sont pas encore traités par l’IETF. Il ne suffit donc pas de dire que le NAT est négatif, il faut encore travailler à fournir des solutions pour les problèmes qu’il semble traiter. Dans tous les cas, toute évaluation d’une nouvelle norme (que ce soit du NAT ou pas) devrait se faire en priorité sur le critère de la transparence du réseau aux applications.

votre avatar

votre avatar







WereWindle a écrit :



Je ne comprends pas comment font les dev dans ce cas là ? Ils préparent des bouts de code à partir des spec fournies par ARM pour n’avoir que du débogage à faire le moment venu ? Comment est-ce testé ?(vraie question)





Les devs en question je crois qu’ils bossent chez ARM directement. Du coup ça doit leur faciliter l’accès aux spec <img data-src=" />


votre avatar

Bon, je suis un noob, patapay !



L’avantage IPv6 + NAT que je vois, c’est la possibilité chez soi d’isoler finement les bécanes adressables en direct sur le net des autre,s qu’on laisse en LAN avec des adresses non-routables.



En gros, ne plus avoir droit qu’à une DMZ avec une seule bécane dedans et tout le reste caché en LAN derrière le routeur avec, ponctuellement, des protocoles routés par les ports.



Avec NAT + IPv6, on aura le choix de laisser plus d’une machine accessible sur le net in extenso, tout en continuant de garder son LAN au chaud avec ce que l’on veut en routage sur les machines que l’on veut.



Implémentation chez Orange vers 20252026, quand tout le reste de la planète sera passé en IPv6…

<img data-src=" /> <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />

votre avatar

[quote::]

Par exemple, les prémices du support ARM64 sont en place. Notez cependant que les premières puces ARM gérant le 64 bits ne sont pas attendues avant 2014.

[/quote]







WereWindle a écrit :





Je ne comprends pas comment font les dev dans ce cas là ? Ils préparent des bouts de code à partir des spec fournies par ARM pour n’avoir que du débogage à faire le moment venu ? Comment est-ce testé ?(vraie question)







D’abord, ça permet de tester le compilateur.

Et quand on est content de ce dernier, on peut déjà écrire le code, effectivement.



Ensuite, il y a des simulateurs qui tournent…

C’est long, mais en gros il s’agit essentiellement de tester le boot-strap.


votre avatar







sky99 a écrit :



Maintenant je ne suis pas un spécialiste du réseau, et j’ai du NAT chez moi.[ …] Donc je reconnais que c’est souvent chiant. Maintenant, du point de vue infrastructure, en quoi est-ce une “ignominie” pour le coeur de réseau?







Parcequ’il faut que les roueurs :




  • maintiennent des tables d’association IP(reseauA) IP(reseauB)

  • reconstruisent des trame IP avec ces adresses.

  • utlisent des resources (CPU, mémoire, …) pour faire cela



    Du coup, ca ajoute de la latence et ca consomme. Au niveau de la planète entière ca ne doit pas si négligeable.


votre avatar







sky99 a écrit :



Maintenant, du point de vue infrastructure, en quoi est-ce une “ignominie” pour le coeur de réseau?





Sauf à ce que tu configures tes redirections de ports / DMZ, le NAT te transforme en une espèce d’eyeball qui n’est bonne qu’à consommer du contenu. Pas à en produire. Donc si on veut te contacter depuis l’extérieur (P2P, VoIP, …), bah on peut pas. Et ça, c’est bien un problème d’architecture, pas de sécurité.



Conceptuellement, l’architecture et la sécurité sont deux problèmes séparés. Architecturer son réseau spécifiquement pour répondre à une problématique de sécurité, c’est dans 99% des cas fortement discutable.



Et pour le reste, le NAT ne rend pas totalement invisibles tes machines depuis l’extérieur hein. Ça complexifie la chose pour celui qui voudrait connaitre l’architecture interne de ton réseau, mais s’il veut savoir, il lui suffit de regarder la signature des paquets…









Commentaire_supprime a écrit :



Avec NAT + IPv6, on aura le choix de laisser plus d’une machine accessible sur le net in extenso, tout en continuant de garder son LAN au chaud avec ce que l’on veut en routage sur les machines que l’on veut.





Et avec un firewall (qui, lui, est fait pour ça), tu peux choisir de bloquer telle ou telle adresse depuis l’extérieur, toute routable qu’elle soit. Sans t’emmerder avec les redirections de ports. Elle est pas belle la vie ?


votre avatar







psn00ps a écrit :



<img data-src=" />Le NAT n’a jamais été pensé pour offrir de la sécurité mais pour pallier au manque d’adresses IPV4.

C’est un firewall qu’il faut pour de la sécurité et non un manque d’implémentation dans ce mécanisme.

+1000







Certes ce n’est pas la fonction première. Pourtant, même si c’est effet de bord, il offre une sécurité en ne permettant pas aux connexion entrante depuis Internet !



Personnelement, je prèfère une sécurité Hard par un équipement à une sécurité Soft via un programme (qui s’appelle firewall).


votre avatar







WereWindle a écrit :



Je ne comprends pas comment font les dev dans ce cas là ? Ils préparent des bouts de code à partir des spec fournies par ARM pour n’avoir que du débogage à faire le moment venu ? Comment est-ce testé ?(vraie question)





il y a des simulateurs/emulateurs portés pour ARM64, dont qemu



donc les devs bossent avec qemu, pas besoin de vraie machine


votre avatar







seb2411 a écrit :



Les devs en question je crois qu’ils bossent chez ARM directement. Du coup ça doit leur faciliter l’accès aux spec <img data-src=" />





j’avoue n’avoir pas pensé à cette possibilité <img data-src=" />







levhieu a écrit :



D’abord, ça permet de tester le compilateur.

Et quand on est content de ce dernier, on peut déjà écrire le code, effectivement.



Ensuite, il y a des simulateurs qui tournent…

C’est long, mais en gros il s’agit essentiellement de tester le boot-strap.





ok, merci. J’imaginais que si la puce n’existait pas encore (edit : d’ailleurs c’est une faute de compréhension de ma part entre ne pas exister et ne pas être distribuée… my bad) on n’avait pas de moyen de connaitre son comportement réel.. Bon après je me doute bien qu’il n’y a de mutation chaotique de puce dans les fonderies hein <img data-src=" />


votre avatar







Zic0 a écrit :



Personnelement, je prèfère une sécurité Hard par un équipement à une sécurité Soft via un programme (qui s’appelle firewall).





Excuse moi de casser tes rêves (là, je m’en veux vraiment), mais ce qui fait du routage sur ta box, c’est… un soft.



À moins que tu aies acheté un routeur carrier-grade qui sont câblés spécifiquement pour ça, mais ce serait, je pense, une perte d’argent assez phénoménale pour ton usage <img data-src=" />



Oh, et si vraiment tu aimes le hardware, prends un firewall matériel. <img data-src=" />


votre avatar







unicyclon a écrit :



Et avec un firewall (qui, lui, est fait pour ça), tu peux choisir de bloquer telle ou telle adresse depuis l’extérieur, toute routable qu’elle soit. Sans t’emmerder avec les redirections de ports. Elle est pas belle la vie ?







Tout à fait, j’avais oublié cette possibilité.



De même, on peut faire du blocage partiels, et ne laisser passer que les ports XXXX à YYYY pour la machine ZZZZ, par exemple.



Merci pour ton point de vue, ça me permet d’y voir plus clair.



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />


votre avatar



Certes ce n’est pas la fonction première. Pourtant, même si c’est effet de bord, il offre une sécurité en ne permettant pas aux connexion entrante depuis Internet !





J’ai ri.



Et sinon, chez toi, ta serrure tu la fixes avec du scotch ?

votre avatar







unicyclon a écrit :



La norme PCI DSS (dont je me suis tapé les docs il y a pas si longtemps, et j’en suis sorti vivant, YAY!) n’impose à aucun moment le NAT. Pas plus d’ailleurs que l’usage de plages d’IPs publiques non routées, ou que l’utilisation d’adresses RFC1918 (pour l’IPv4). Et je dirais que de ces 3 choix (4, en fait, avec le firewall), le NAT est bien la pire des options.



Un firewall (que la norme PCI DSS impose par contre) répond bien à cette problématique d’exposition des adresses depuis l’extérieur. De même qu’un simple null-route sur le routeur. Ou qu’une suppression de l’annonce BGP correspondante si t’es sur un gros réseau. Mais bon, si on aime se compliquer la vie…







Effectivement, elle ne l’impose pas implicitement mais je te met au défi d’avoir une architecture certifié PCI DSS sans NAT. Je vais bien me marrer moi<img data-src=" />



Pour info, je n’ai pas fait que de me taper la norme mais je l’ai implémenté et obtenu la certification de ma plateforme cette année. Donc non ce n’est pas un élément de sécurisation a proprement parlé mais un élément de complexité. Un auditeur te rigolera surement au nez si tu n’en n’as pas !


votre avatar







unicyclon a écrit :



Excuse moi de casser tes rêves (là, je m’en veux vraiment), mais ce qui fait du routage sur ta box, c’est… un soft.





Quoi ? c’est pas un lutin qui change les fils de branchement ? <img data-src=" />



C’est quoi la prochaine ? le père noël, la ptite souris ? qu’il n’y a pas de crocodile dans les égouts ?? <img data-src=" />


votre avatar







Rush a écrit :



Effectivement, elle ne l’impose pas implicitement mais je te met au défi d’avoir une architecture certifié PCI DSS sans NAT. Je vais bien me marrer moi<img data-src=" />





Si ton auditeur te rit au nez parce que tu as pas de NAT, prends-en un compétent. Je sais pas quoi te dire d’autre.



Le fait qu’une norme impose un truc stupide ne rend pas pour autant moins stupide le truc en question.


votre avatar







unicyclon a écrit :



Excuse moi de casser tes rêves (là, je m’en veux vraiment), mais ce qui fait du routage sur ta box, c’est… un soft.







Tu joues sur les mots



L’avantage de le faire via la box, c’est que t’es directement configuré si un pote vient, ou que tu changes d’OS, de machine, etc.



J’suis pas sûr que les box fassent firewall, sinon, c’est effectivement kifkif bourricot


votre avatar







unicyclon a écrit :



Si ton auditeur te rit au nez parce que tu as pas de NAT, prends-en un compétent. Je sais pas quoi te dire d’autre.



Le fait qu’une norme impose un truc stupide ne rend pas pour autant moins stupide le truc en question.







Elle ne doit pas être bien compliqué sachant que pour se relier à beaucoup de partenaire, la NAT est obligatoire. Enfin bon, chacun son opinion.



votre avatar







raoudoudou a écrit :



J’suis pas sûr que les box fassent firewall, sinon, c’est effectivement kifkif bourricot





Ce que je suis – justement – en train de dire, c’est qu’au lieu de d’emm* à configurer du NAT66 sur leurs box, les FAI pourraient tout à fait configurer IPtables à la place…



Pour ce qui est de la box OVH, elle fait firewall. Y compris en IPv6. Pour les autres, j’en sais rien.


votre avatar







Commentaire_supprime a écrit :



Bon, je suis un noob, patapay !



L’avantage IPv6 + NAT que je vois, c’est la possibilité chez soi d’isoler finement les bécanes adressables en direct sur le net des autre,s qu’on laisse en LAN avec des adresses non-routables.



En gros, ne plus avoir droit qu’à une DMZ avec une seule bécane dedans et tout le reste caché en LAN derrière le routeur avec, ponctuellement, des protocoles routés par les ports.



Avec NAT + IPv6, on aura le choix de laisser plus d’une machine accessible sur le net in extenso, tout en continuant de garder son LAN au chaud avec ce que l’on veut en routage sur les machines que l’on veut.



Implémentation chez Orange vers 20252026, quand tout le reste de la planète sera passé en IPv6…

<img data-src=" /> <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />





Bin… c’est le rôle du Firewall de faire ça. Non?



Si je me rappel bien des règles Firewall c’est (sans le langage exact):

traffic réponse vers tous : ACCEPT (ça passe si c’est une réponse à un message émis par une de nos machine)

traffic entrant vers 135.135.1.4: DENY (refus avec message d’erreur)

traffic entrant vers 135.135.1.5 : DROP (la trame ou le paquet ne passe pas et pas de message d’erreur envoyé)

traffic entrant vers 135.135.1.6 : ACCEPT (on laisse passer, c’est le serveur par exemple)

traffic entrant vers tous : DROP (tout le reste est rejeté)



(Une table de règles se lit de bas en haut, le première règle rencontrée qui correspond au cas est appliquée)



Pour gérer une DMZ autant utiliser un routeur qui permet surtout d’isoler la machine en DMZ du reste du réseau, le Firewall s’occupant de laisser passer les trames/paquets à destination de la DMZ et de verrouiller le réseau interne.



Pfff ça fait 6 mois que j’ai pas touché ma config chez moi et je suis déjà rouillé faut vraiment que je m’y remette.



Si j’ai dit des conneries merci de me corriger.


votre avatar

Le seul intérêt que je vois à avoir du nat en IPv6, et encore je suis revenu sur cette idée assez rapidement c’est justement à cause de Free (et sourtout moi <img data-src=" /> )



Je m’explique, Free propose certe l’IPv6 mais en /64, du coup il est impossible de créer des sous-réseaux (ou en tout cas déconseillé, peut être possible avec un DHCPv6). Mon architecture réseau IPv4 avec plusieurs sous réseau routés par une pandaboard: LAN (impossible d’y acceder depuis internet) et DMZ (accessible depuis internet) ne peut plus s’appliquer en IPv6.



J’avais penser à utiliser les ULA pour créer ces sous réseaux IPv6 mais je m’était justement heurté au non support du nat IPv6. Le nat à ce moment ne m’aurais pas géné car j’ai peu de serveurs accessibles depuis internet.



Pourquoi je suis revenu de cette architecture? On ne pouvait plus accéder au nas depuis la Freebox HD du coup madame a ralé <img data-src=" />



Donc la pandaboard est en mode bridge (WiFi+LAN)/Freebox(vlan) et elle me sert de brouter, le tout sur un seul sous réseau.

votre avatar







raoudoudou a écrit :



Tu joues sur les mots



L’avantage de le faire via la box, c’est que t’es directement configuré si un pote vient, ou que tu changes d’OS, de machine, etc.



J’suis pas sûr que les box fassent firewall, sinon, c’est effectivement kifkif bourricot







Merci. Enfin un qui comprends.



Pour les autres, passez en IPV6. Mettez des firewall sur tous vos équipements, amusez vous à suivre les mises à jour de tous les firewalls dans un parc de plus en plus hétérogène (smartphone, tablette, pc, boitier multimédia, et demain frigo et cafetier, domotique,…..).



Pour ma part, je pense que le NAT reste une bonne fonctionalité pour la terminaison.


votre avatar

Meilleure performance et meilleure autonomie d’Android 5.0 ?

votre avatar







unicyclon a écrit :



NAT sur IPv6 ?

Moi qui croyais que l’IPv6 serait l’occasion d’enfin se débarasser de cette ignominie…



<img data-src=" />







Pour le coeur du réseau, le NAT est certainement un ignominie. Mais le NAT offre un certain niveau de sécurité en permettant qu’un réseau local ne soit pas totalement publié sur Internet.



Personnellement, je ne vois pas du tout d’un bon œil que mon PC soit visible depuis Internet.



Note : C’est d’ailleurs ce qui arrive quand on active IPv6 sur sur Freebox.


votre avatar







unicyclon a écrit :



NAT sur IPv6 ?

Moi qui croyais que l’IPv6 serait l’occasion d’enfin se débarasser de cette ignominie…



<img data-src=" />





? Euh donc tu voudrais que les adresses d’un LAN soient routables sur un WAN ? <img data-src=" />

Je connais des vilains qui en baveraient déjà…


votre avatar

votre avatar







unicyclon a écrit :



NAT sur IPv6 ?

Moi qui croyais que l’IPv6 serait l’occasion d’enfin se débarasser de cette ignominie…



<img data-src=" />







La NAT est un bon moyen de sécurisation, il est tout à fait normal qu’elle soit présente en IPv6 de mon point de vue. <img data-src=" />


votre avatar

A supprimer

votre avatar







unicyclon a écrit :



NAT sur IPv6 ?

Moi qui croyais que l’IPv6 serait l’occasion d’enfin se débarasser de cette ignominie…



<img data-src=" />





T’as du louper quelque cours de réseaux et de sécu <img data-src=" />


votre avatar

Le NAT est certainement pas fait pour la sécurité à la base, c’est un usage parfaitement détourné.



Un ch’tit firewall simple (comme il y a déjà présent dans les box Technicolor OVH) qui bloque les accès à ton LAN depuis l’extérieur apporte exactement les mêmes avantages sécuritaires… sans s’emmerder avec les redirections de ports & cie.



Si t’as pas envie qu’on accède à tes machines depuis le WAN, c’est bien d’un firewall que tu as besoin, pas d’un NAT qui n’est absolument pas nécessaire et qui apporte plus de contraintes qu’il ne va en supprimer. Et au moins, comme ça, je peux choisir au cas par cas ce qui est visible depuis le WAN avec une flexibilité qui n’est même pas comparable…

votre avatar







Rush a écrit :



La NAT est un bon moyen de sécurisation, il est tout à fait normal qu’elle soit présente en IPv6 de mon point de vue. <img data-src=" />







En quoi c’est mieux qu’un firewall sur le routeur ? Tu évites d’exposer directement ton pc sur le grand réseau mais au moins pas de translation d’adresse ni de gestion des ports.


votre avatar







Zic0 a écrit :



Pour le coeur du réseau, le NAT est certainement un ignominie. Mais le NAT offre un certain niveau de sécurité en permettant qu’un réseau local ne soit pas totalement publié sur Internet.



Personnellement, je ne vois pas du tout d’un bon œil que mon PC soit visible depuis Internet.



Note : C’est d’ailleurs ce qui arrive quand on active IPv6 sur sur Freebox.





Je viens de chercher en IPv6 la plage des adresses locales est fc00::/7 donc non routable. Ce qui résout normalement le pb.

Après j’espère que Free a implanté ça dans ses routeurs…


votre avatar







unicyclon a écrit :



Le NAT est certainement pas fait pour la sécurité à la base, c’est un usage parfaitement détourné.



Un ch’tit firewall simple (comme il y a déjà présent dans les box Technicolor OVH) qui bloque les accès à ton LAN depuis l’extérieur apporte exactement les mêmes avantages sécuritaires… sans s’emmerder avec les redirections de ports & cie.



Si t’as pas envie qu’on accède à tes machines depuis le WAN, c’est bien d’un firewall que tu as besoin, pas d’un NAT qui n’est absolument pas nécessaire et qui apporte plus de contraintes qu’il ne va en supprimer.





Euh je dirais que tu as besoin des 2, le NAT n’ayant pas pour fonction première de sécurisée (mais permet d’en ajouter un peu, et cela ne remplace en aucun cas un firewal)


votre avatar







flagos_ a écrit :



En quoi c’est mieux qu’un firewall sur le routeur ? Tu évites d’exposer directement ton pc sur le grand réseau mais au moins pas de translation d’adresse ni de gestion des ports.







La sécurité, c’est pas forcément empêcher les intrusions, c’est aussi t’empêcher de faire des conneries de ton côté <img data-src=" />



Le NAT, c’est la crèche si tu veux. Et toi t’es le bébé


votre avatar







unicyclon a écrit :



Le NAT est certainement pas fait pour la sécurité à la base, c’est un usage parfaitement détourné.



Un ch’tit firewall simple (comme il y a déjà présent dans les box Technicolor OVH) qui bloque les accès à ton LAN depuis l’extérieur apporte exactement les mêmes avantages sécuritaires… sans s’emmerder avec les redirections de ports & cie.



Si t’as pas envie qu’on accède à tes machines depuis le WAN, c’est bien d’un firewall que tu as besoin, pas d’un NAT qui n’est absolument pas nécessaire et qui apporte plus de contraintes qu’il ne va en supprimer. Et au moins, comme ça, je peux choisir au cas par cas ce qui est visible depuis le WAN avec une flexibilité qui n’est même pas comparable…







+1 vive le routage et les pare-feu


votre avatar







flagos_ a écrit :



En quoi c’est mieux qu’un firewall sur le routeur ? Tu évites d’exposer directement ton pc sur le grand réseau mais au moins pas de translation d’adresse ni de gestion des ports.







Déjà chez moi c’est un serveur, une fonction donc un routeur + un firewall. Après, je n’ai jamais dit que c’était mieux, j’ai juste dit que c’était un élément de sécurisation.<img data-src=" />


votre avatar







Rush a écrit :



Déjà chez moi c’est un serveur, une fonction donc un routeur + un firewall. Après, je n’ai jamais dit que c’était mieux, j’ai juste dit que c’était un élément de sécurisation.<img data-src=" />





Plus un serveur DHCP, plus un récurseur DNS, plus une cafetière, plus un point d’accès Wi-Fi, … ? Chacun son truc, si t’as du courant (et par extension des sous) à perdre… Bref.



Par contre, quelqu’un m’explique, à partir du moment où il a un firewall (que je suppose bien configuré), l’intérêt d’un NAT en IPv6 ? Parce que les inconvénients, j’en ai à la pelle. Mais pour le reste…


votre avatar







unicyclon a écrit :



Plus un serveur DHCP, plus un récurseur DNS, plus une cafetière, plus un point d’accès Wi-Fi, … ? Chacun son truc, si t’as du courant (et par extension des sous) à perdre… Bref.



Par contre, quelqu’un m’explique, à partir du moment où il a un firewall (que je suppose bien configuré), l’intérêt d’un NAT en IPv6 ? Parce que les inconvénients, j’en ai à la pelle. Mais pour le reste…





J’veux pas dire, mais je fais largement confiance au gens qui rédigent les RFC pour ce genre de chose…

C’est pas que je mette tes compétences en doute, mais il me semble encore plus dur de remettre en cause les compétences de ces gens là <img data-src=" />


votre avatar







unicyclon a écrit :



Ce que je suis – justement – en train de dire, c’est qu’au lieu de d’emm* à configurer du NAT66 sur leurs box, les FAI pourraient tout à fait configurer IPtables à la place…



Pour ce qui est de la box OVH, elle fait firewall. Y compris en IPv6. Pour les autres, j’en sais rien.





La neufbox et la dartybox faisait Firewall il y a 3 ans, la Bbox aussi il y a 2 ans. Depuis je me suis baladé entre des routeurs fait maison et la box OVH, du coup je ne sais pas si ça a changé.



D’ailleurs la DartyBox avait une interface conviviale pour le Firewall en mode avancé si je me souviens bien.


votre avatar







Khalev a écrit :



Bin… c’est le rôle du Firewall de faire ça. Non?







J’avais compris cela après le post d’unicyclon qui a mis les choses au clair.



Surtout que je l’ai fait sur le FW de mon NAS pour certaines IP (celles de TMG <img data-src=" /> )…


votre avatar







Zic0 a écrit :



Pour les autres, passez en IPV6. Mettez des firewall sur tous vos équipements, amusez vous à suivre les mises à jour de tous les firewalls dans un parc de plus en plus hétérogène (smartphone, tablette, pc, boitier multimédia, et demain frigo et cafetier, domotique,…..).





Heu ?



Un firewall peut se mettre sur le routeur (sur la box, quoi), ou sur une machine en amont du routeur. Personne n’a dit d’en mettre un sur chaque machine connectée au réseau, et personne n’a parlé d’en avoir 50.



Et c’est plus facile à configurer / comprendre que le NAT pour l’utilisateur lambda… Ma box le fait, je n’ai jamais eu à y toucher. Et mes postes sont inaccessibles depuis l’extérieur.


votre avatar







unicyclon a écrit :



Heu ?

Un firewall peut se mettre sur le routeur (sur la box, quoi), ou sur une machine en amont du routeur. Personne n’a dit d’en mettre un sur chaque machine connectée au réseau, et personne n’a parlé d’en avoir 50. Et c’est plus facile à configurer / comprendre que le NAT pour l’utilisateur lambda…







Il y a aussi ce genre de firewall si on veut du lourd.



Un avis de pro sur le zinzin en question ?


votre avatar







Zic0 a écrit :



Merci. Enfin un qui comprends.



Pour les autres, passez en IPV6. Mettez des firewall sur tous vos équipements, amusez vous à suivre les mises à jour de tous les firewalls dans un parc de plus en plus hétérogène (smartphone, tablette, pc, boitier multimédia, et demain frigo et cafetier, domotique,…..).





Pas besoin de mettre un firewall sur chaque machine, sur le point d’entrée (routeur/box) il suffit d’interdir les connexions entrantes sur le LAN.



Après tu peux configurer une liste d’adresses/ports accessible depuis l’extérieur. Dans tout tes exemple j’en vois peu qui doivent avoir besoin d’un accès extérieur…. juste le pc si tu heberges un service particulier.



Donc avec une règle de filtrage aucune machine n’est accessible depuis l’extérieur


votre avatar







Zic0 a écrit :



Merci. Enfin un qui comprends.



Pour les autres, passez en IPV6. Mettez des firewall sur tous vos équipements, amusez vous à suivre les mises à jour de tous les firewalls dans un parc de plus en plus hétérogène (smartphone, tablette, pc, boitier multimédia, et demain frigo et cafetier, domotique,…..).





Le Firewall du point d’entré réseau suffit, même en IPv6. Chez soi le firewall de la box/routeur suffit.



Par contre pour les équipements qui se baladent hors du réseau protégé par le routeur (smartphone, PC portable qui se connecte en wifi publique,…) oui il en faut un sur la machine… comme actuellement en fait. Tu te balades sur un réseau public sans Firewall toi?



En fait tu délimites un “réseau de confiance” sur lequel tu considères que toutes les machines de ce réseau sont “gentilles”, à partir de là tu as juste à protéger le point d’entrée de ce réseau. Chez toi, le “ réseau de confiance” c’est le wifi, CPL, et les câbles qui sortent de ta box et le point d’entrée c’est ton routeur. En dehors, sauf réseau d’entreprise verrouillé et sécurisé (ce n’est le cas que dans très peu d’entreprises), le “réseau de confiance” c’est ton PC/smartphone et le point d’entrée c’est ton PC/smartphone.



Que tu sois en IPv4 ou IPv6 n’y change rien.


votre avatar







unicyclon a écrit :



Heu ?



Un firewall peut se mettre sur le routeur (sur la box, quoi), ou sur une machine en amont du routeur.







C’est vrai que le “PC en amont du routeur” est l’architecture réseau de référence chez la plupart des gens.







unicyclon a écrit :



Personne n’a dit d’en mettre un sur chaque machine connectée au réseau, et personne n’a parlé d’en avoir 50.







Ha bon ?? On ne doit pas lire les mêmes messages.


votre avatar







Zic0 a écrit :



C’est vrai que le “PC en amont du routeur” est l’architecture réseau de référence chez la plupart des gens.





T’es de mauvaise foi là. T’as lu que la seconde moitié de ma phrase ou bien ?







Zic0 a écrit :



Ha bon ?? On ne doit pas lire les mêmes messages.





Visiblement pas, effectivement. Quand on parle de firewall, on parle pas forcément de Norton Internet Security hein…


votre avatar







WereWindle a écrit :



j’avoue n’avoir pas pensé à cette possibilité <img data-src=" />





Oui ARM et les entreprises qui bossent avec eux font de plus en plus de travail directement sur le Noyau. Et ce dernier pour 85% ce sont des entreprises qui bossent dessus.



C’est un point qui est intéressant car on va avoir sous Linux le support de l’ARM64 des la sortie de cette technologie. Ca rejoint ainsi Intel qui fournit tous les drivers avant la sortie de ses nouvelles architectures. Un bon point pour les distributions linux.


votre avatar







Khalev a écrit :



Par contre pour les équipements qui se baladent hors du réseau protégé par le routeur (smartphone, PC portable qui se connecte en wifi publique,…) oui il en faut un sur la machine… comme actuellement en fait. Tu te balades sur un réseau public sans Firewall toi?





Par exemple, sur les smart phone, il n’y a pas de Firewall. Sur mon tel, il faut installer des appli en plus. (et peut être même être root).

Du plus sur la 3G l’IP attribuée n’est pas routable =&gt; il y a du NAT CQFD







Khalev a écrit :



En fait tu délimites un “réseau de confiance” sur lequel tu considères que toutes les machines de ce réseau sont “gentilles”, à partir de là tu as juste à protéger le point d’entrée de ce réseau. Chez toi, le “ réseau de confiance” c’est le wifi, CPL, et les câbles qui sortent de ta box et le point d’entrée c’est ton routeur. En dehors, sauf réseau d’entreprise verrouillé et sécurisé (ce n’est le cas que dans très peu d’entreprises), le “réseau de confiance” c’est ton PC/smartphone et le point d’entrée c’est ton PC/smartphone.



Que tu sois en IPv4 ou IPv6 n’y change rien.







Si les IPv6 attribuées par la BOX sont public, alors cela pose PB. D’après ce que je lis, la FreeBox par exemple attribut une IP v6 public !

Je maintients que du point de vue sécurité cela n’est pas mieux qu’un adresse IP privée.



votre avatar







Zic0 a écrit :



Si les IPv6 attribuées par la BOX sont public, alors cela pose PB. D’après ce que je lis, la FreeBox par exemple attribut une IP v6 public !

Je maintients que du point de vue sécurité cela n’est pas mieux qu’un adresse IP privée.





N’importe qu’elle par-feu interdit les connexions entrantes sauf réponse à une connexion que tu as établie.


votre avatar







Zic0 a écrit :



Du plus sur la 3G l’IP attribuée n’est pas routable =&gt; il y a du NAT CQFD





Ce qui répond principalement à un objectif de limiter l’utilisation d’adresses IPv4.



De manière générale, avec tes appareils mobiles, si tu te connectes sur des réseaux publics, l’attaque peut très bien venir du gars qui est connecté au même réseau que toi 20 mètres plus loin. À partir du moment où tu ne contrôles pas le réseau sur lequel tu te connectes, le firewall n’est pas là pour faire joli. Si tu es si concerné que ça par les problématiques de sécurité, je pense que tu devrais le comprendre assez facilement…



Et si ton téléphone n’a pas de firewall bundled, changes en. Autant sur Android que sur iPhone, ipTables est embarqué, au moins de ce que j’en sais.









Zic0 a écrit :



Si les IPv6 attribuées par la BOX sont public, alors cela pose PB.





Encore une fois, peu importe qu’elle soit publique si elle est pas accessible depuis l’extérieur.



Pour le fait que la Freebox offre ou pas un firewall, c’est leur problème, et celui de leurs utilisateurs. Ça ne remet pas en question une philosophie d’architecture, qui est de séparer les problématiques d’accessibilité / architecture et de sécurisation.



votre avatar







Zic0 a écrit :



C’est vrai que le “PC en amont du routeur” est l’architecture réseau de référence chez la plupart des gens.







N’importe quel routeur de qualitay est censé pouvoir faire pare feu. Et on trouve des routeurs dans toutes les offres de type crétinbox.


votre avatar







Zic0 a écrit :



Pour le coeur du réseau, le NAT est certainement un ignominie. Mais le NAT offre un certain niveau de sécurité en permettant qu’un réseau local ne soit pas totalement publié sur Internet.



Personnellement, je ne vois pas du tout d’un bon œil que mon PC soit visible depuis Internet.



Note : C’est d’ailleurs ce qui arrive quand on active IPv6 sur sur Freebox.







Le NAT n’apporte pas plus de sécurité en IPV4 qu’en IPV6.



Voir par exemple ici



Si l’on veut protéger sa machine d’accès non voulu depuis Internet, il faut utiliser un firewal.







tschaggatta a écrit :



? Euh donc tu voudrais que les adresses d’un LAN soient routables sur un WAN ? <img data-src=" />

Je connais des vilains qui en baveraient déjà…







Merci d’expliquer quel est le problème et en quoi il ne peut pas être résolu par un firewall.







Rush a écrit :



La NAT est un bon moyen de sécurisation, il est tout à fait normal qu’elle soit présente en IPv6 de mon point de vue. <img data-src=" />







Toujours faux même si vous êtes nombreux à le dire.



De plus la plupart des attaques se font maintenant de l’intérieur du LAN après avoir pris le contrôle d’une machine et cela peut-être assez simple avec une appli flash ou java. Faire croire que l’on est en sécurité derrière un NAT est donc limite criminel.







Holly Brius a écrit :



T’as du louper quelque cours de réseaux et de sécu <img data-src=" />







Et toi, tu as dû y dormir ou mal comprendre ou encore avoir des profs incompétents sur le sujet.







flagos_ a écrit :



En quoi c’est mieux qu’un firewall sur le routeur ? Tu évites d’exposer directement ton pc sur le grand réseau mais au moins pas de translation d’adresse ni de gestion des ports.







Voilà !



En plus, cela permet d’utiliser des protocoles sans ouverture de port par uPnP qui lui est souvent un problème de sécurité par manque d’authentification.







unicyclon a écrit :



Le NAT est certainement pas fait pour la sécurité à la base, c’est un usage parfaitement détourné.



Un ch’tit firewall simple (comme il y a déjà présent dans les box Technicolor OVH) qui bloque les accès à ton LAN depuis l’extérieur apporte exactement les mêmes avantages sécuritaires… sans s’emmerder avec les redirections de ports & cie.



Si t’as pas envie qu’on accède à tes machines depuis le WAN, c’est bien d’un firewall que tu as besoin, pas d’un NAT qui n’est absolument pas nécessaire et qui apporte plus de contraintes qu’il ne va en supprimer. Et au moins, comme ça, je peux choisir au cas par cas ce qui est visible depuis le WAN avec une flexibilité qui n’est même pas comparable…







+1000


votre avatar







Zic0 a écrit :



Par exemple, sur les smart phone, il n’y a pas de Firewall. Sur mon tel, il faut installer des appli en plus. (et peut être même être root).

Du plus sur la 3G l’IP attribuée n’est pas routable =&gt; il y a du NAT CQFD







Hmm effectivement apparemment de base il n’y a pas de Firewall. J’utilise MIUI sur mon smartphone et il y a un FireWall je ne m’étais pas posé la question. Le problème c’est que personnellement je ne considère pas le réseau opérateur comme un réseau sûr. Ton IP n’est peut-être pas accessible depuis l’extérieur, mais elle l’est depuis le réseau interne.



Et comment ça se passe quand tu te connectes en Wifi sur un réseau publique? c’est la fête au village?



Sans compter qu’un FireWall protège aussi des output non désirés. Étrange, c’est pareil sur les IPhone? Et les WP?







Zic0 a écrit :



Si les IPv6 attribuées par la BOX sont public, alors cela pose PB. D’après ce que je lis, la FreeBox par exemple attribut une IP v6 public !

Je maintients que du point de vue sécurité cela n’est pas mieux qu’un adresse IP privée.





Sauf que tu ne comprends pas comment fonctionne un FireWall.



Tu mets un FireWall sur ton point d’entrée, il va regarder tous les paquets qui passent, entrant et sortant, s’ils ont le droit de passer il les laisse passer, sinon il les rejette. Même si ton IP est accessible de l’extérieur, les paquets passent tout de même par le FireWall qui va faire son boulot. Ce n’est pas parce que l’IP est publique que tu passes au travers du FireWall.



votre avatar







flagos_ a écrit :



N’importe quel routeur de qualitay est censé pouvoir faire pare feu. Et on trouve des routeurs dans toutes les offres de type crétinbox.



Perdu pour une fois<img data-src=" />

La Freebox v4 fait du nat, pas firewall (en même temps rester avec une v4 alors que la v5 est gratos<img data-src=" />)


Le noyau Linux 3.7 fait un pas important vers le support générique d’ARM

Fermer