michelgre

[NAT] Montée en puissance de l'IPv6
« Réponse #50 le: 18 November 2008 13:19:57 »
Citation de: MacJL
Citation de: Furlax
Mais de quoi vous parlez ?
[...]blablabla[...]
Tout ce que tu veux, c'est un FIREWALL!
Oui. Le monsieur Furlax n'a qu'a essayer de brancher son PC sous windows, sans firewall logiciel, derrière un routeur NAT d'abord, puis directement sur Internet (1), et 5 mn après il verra s'il y avait ou pas un firewall dans le premier cas...

A propos de Firewall et d'IPV6, Sunbelt (ex Kerio) ne gère pas l'IPV6, et en plus ils s'en fichent. Visiblement ils ont tout compris chez Sunbelt.

(1) pour les autres lecteurs, ne le faites pas !

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #51 le: 18 November 2008 14:28:57 »
Citation de: nouknouk
(...) les milliers de madame Michu qui n'ont pas un furlax à côté d'eux n'ont qu'une envie "que ça marche".
Malheureusement, les envies de Mme Michu n'ont que peu d'impact sur l'état de l'art en matière d'attaque hostile.

Avec un routeur activé par défaut (comme c'est le cas chez Orange je crois, ou je ne sais plus chez quel FAI), l'accès web (qui est l'usage de base), MSN, WindowsUpdate, etc ... fonctionnent.

Le seul truc qui pose problème c'est les connexions entrantes pour les applis qui ne sont pas reliées par un serveur intermédiaire.

Les protocoles permettant d'ouvrir un port automatiquement existent. Mais on ne les utilise pas pour une raison simple : le tout software est trop vulnérable. Mais rien ne t'empèche de développer une appli qui, à l'installation d'Emule, va demander à l'utilisateur son compte free et son mot de passe pour pouvoir modifier la règle de routage de ta freebox.
Ensuite tu la postes sur Clubic et ratatium sous la rubrique "Emule for free noobs" ... et dans les 5 minutes qui suive t'es banni.

Pourquoi ne l'a-t-on pas déjà fait ? Peut-on se poser la question ? On a des firewall de luxe pourtant sur nos PCs maintenant ... on est à protégés ... les éditeurs de logiciels sont tous cleans ... les softs respectables n'ouvrent pas de back door quand on les autorise à passer le firewall pour télécharger leurs mises à jour. Et on n'utilise que des softs respectables.

N'y a-t-il pas un danger à refiler son mot de passe Free ailleurs que dans l'interface Free ?
Prétendre qu'avec IPv6 ma'ame Michu va pouvoir DL à gogo sans manip, monter un serveur web pour les nuls et consulter ses messages stoqués sous Asterisk sans douleur ... est une escroquerie.
D'abord parceque Mme Michu ne sera peut-être plus admin de son PC par défaut (ça nous pend au nez).
Si la réponse à la question "Faites-vous confiance à l'application trucmuch pour trouer votre firewall ?" est simple. Il est tout de même remarquable que le fait de revenir sur cette décision l'est moins (si on clique "Non" par erreur ... on fait quoi ? Et si on ne comprend pas la portée de la question ?).
Un hacker peut toujours s'amuser à programmer le pilote de la souris pour qu'elle clique sur la bonne case (genre Homer qui vote MacCain).
On peut avoir un firewall complètement troué sans s'en rendre compte (c'est pas Mme Michu qui va checker les exceptions).

Qu'est ce qui est le plus difficile ? Programmer un télésite ou ouvrir une plage de ports pour le rendre accessible ?
Pourquoi vouloir faire du push button sur une procédure qui par ailleurs implique une connaissance bien supérieure ?
Mme Michu, quand elle demande à M Furlax de lui ouvrir son port, elle bénéficie par la même occasion d'un certain support lui évitant par la suite d'introduire n'importe qui dans son espace privé.

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #52 le: 18 November 2008 15:00:32 »
... Ou comment dire avec pleins de cas particuliers: "expliquez moi de ce dont vous avez besoin, je vous expliquerai comment vous en passer ou bien comment implémenter dix programmes pour répondre à une limitation qui n'aurait plus lieu d'être avec IPv6".

Citation de: Furlax
Mme Michu, quand elle demande à M Furlax de lui ouvrir son port, elle bénéficie par la même occasion d'un certain support lui évitant par la suite d'introduire n'importe qui dans son espace privé.
Donc si je résume, le seul argument qu'il te reste en faveur de ton IPv4+NAT, c'est :

"Avec IPv6, on pourrait faire les choses plus simples et adopter un système qui simplifiera grandement tous les acteurs du réseau, du particulier aux FAI en passant pas les admins. Ca réduirait les coûts, apporterait plus de flexibilité et ouvrirait le champ des possibilités pour de nouveaux services émergents (et c'est pas qu'une histoire de ports sortants, il y a beaucoup plus en jeu, cf. mes posts précédents).

Mais non, il vaut mieux garder les choses les plus compliquées possibles, juste pour empêcher madame Michu de faire ce dont elle a envie (pas monter un serveur web, hein ; juste jouer à WoW) car elle ne fait pas partie des élus ayant un Bac+5 en réseaux. Et tant pis pour elle si elle a pas un admin réseau dans son répertoire téléphonique. Au mieux elle perdra des heures à se renseigner sur le net ; au pire elle abandonnera.
Et puis, au passage, tant pis aussi pour l'avenir du réseau et les services qui auraient pu émerger."


... et c'est toi qui me parle de "foutaises liberticides" à propos d'IPv6 ?! :rolleyes:

En bref, tu es incapable de me sortir un argument convaincant quant aux désavantages d'IPv6 par rapport aux solutions actuelles si ce n'est pour 'protéger madame Michu d'elle-même'. L'argument est non seulement risible, mais il est faux en plus: tous les cas que tu exposes sont tout autant valables pour IPv6 que pour IPv4.

Bref, l'argument ultime, quoi.

Remarque, tu me rassures: c'est peut-être que mon opinion n'est pas si "technico-artistico-new-age" que ça, et que "90% d'IPv6 n'est peut être pas à foutre à la poubelle".

... chacun se fera son opinion...

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #53 le: 19 November 2008 06:19:52 »
Tu perds la boule ?
J'ai rien compris à ton précédent post (où tu ne cites pas un mot de moi, mis à part ma blague graveleuse sur les ports de ma'ame Michu).
Allez ... une expérience ...
T'as le mode routeur activé chez Free avec les deux ports passant pour Emule.
Tu démarres Emule et tu actives le réseau Kad ... tu télécharges un truc très recherché pendant une heure.
Ensuite tu arrêtes Emule.
Crois-tu que ca se calme tout de suite sur ton Lan (switché par la freebox) ?
Non, tu continues à recevoir des demandes (même s'il n'y a plus de soft à l'écoute des ports en question sur ta machine).
Ces demandes prennent toujours de la bande passante sur ton LAN et, si tu fais des transferts de/vers la freebox (disque dur) ou de/vers un autre PC chez toi, tu remarques que t'es pas à 100%.

Tu te gargarises avec les 128 bits des adresses IPv6 qui sont sensé te planquer ... mais combien de temps ça va mettre à un gars sur le réseau KAD pour choper des adresses IP valides ? Qu'est-ce qui va l'empècher de taper sur un autre port que celui que t'as ouvert pour le P2P ?
A l'heure actuelle, ça finit par se calmer coté KAD après quelques temps d'arret du soft ... de plus, je télécharge très peu (uniquement les conventions collectives, introuvables gratuitement autrement ... du moins sur le web) mais me je me souviens d'une époque lointaine où j'étais chez wanamou en 56k et où il m'arrivait par hasard d'hériter d'une adresse de PC très actif en P2P ... et bien j'avais pas besoin de longtemps pour m'en rendre compte et je pouvais immédiatement couper/redémarrer ma connexion pour espérer tirer une autre boule.

Ce que je décris n'a pas encore commencé pour le P2P : pour l'instant, il est plus facile de taper au pif et les routeurs NAT rendent l'investissement peu relutif (souvent, seuls les ports de P2P sont forwardés et les softs de P2P sont fiables). Mais le P2P sera bientôt diabolisé (comme pourvoyeur d'adresses IP ... de même qu'aujourd'hui, on est obligé de planquer son adresse email sur son site web). KAD te remercie biloute, hein !

Enfin, j'imagine bien ce que ça peut donner sur un réseau mobile.

J'en remets une couche sur la facilité d'emploi ...
Aujourd'hui, si ma'ame Michu ne fait rien chez Free, elle expose tous ses ports sur le web et l'installation de ses softs se fait comme dans tes rèves.
Si demain elle veut commencer un réseau chez elle, il est normal qu'elle apprenne la base ou qu'elle se fasse aider. Internet pour les nuls, c'est un leurre quand tu n'as pas appris à rester dans les clous.
Sinon, t'as qu'à développer un soft de port forwarding dans le routeur NAT de la freebox et capable de se greffer sur la demande d'autorisation du firewall windows (c'est à dire qui détecterait une ouverture de port autorisée sur le PC local et proposerait illico de forwarder le trou du coté de la freebox si l'adresse du PC est sous la forme 192.168.0.xx).
Ce genre de mécanisme aurait gagné à se généraliser sur les mobiles notamment (en allant jusqu'à la mise en place d'un système de proxy/stub de port permettant aux mobiles de gérer à distance leurs ports ouverts ... toujours pour éviter que ne transite dans l'air des paquets voués de toutes façons à être rejetés)

Si les numéros de ports étaient passés à 32 bits et si on avait ajouté 2 octets à l'adresse IPv4 ... qui aurait eu mal ?


MacJL

[NAT] Montée en puissance de l'IPv6
« Réponse #54 le: 19 November 2008 07:49:13 »
Citation de: Furlax
Sinon, t'as qu'à développer un soft de port forwarding dans le routeur NAT de la freebox et capable de se greffer sur la demande d'autorisation du firewall windows (c'est à dire qui détecterait une ouverture de port autorisée sur le PC local et proposerait illico de forwarder le trou du coté de la freebox si l'adresse du PC est sous la forme 192.168.0.xx).
Et si dans ton LAN tu as plusieurs ordis, et que deux d'entre eux veulent faire serveur web pour héberger les photos des vacances? On ne peux pas "ouvrir" le port 80 pour les deux sur du NAT. Donc l'un des deux devra utiliser un port exotique, qui aura de fortes chances de se faire refuser par la plupart des proxy http.

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #55 le: 19 November 2008 07:54:41 »
Citation de: MacJL
Et si dans ton LAN tu as plusieurs ordis, et que deux d'entre eux veulent faire serveur web pour héberger les photos des vacances? On ne peux pas "ouvrir" le port 80 pour les deux sur du NAT. Donc l'un des deux devra utiliser un port exotique, qui aura de fortes chances de se faire refuser par la plupart des proxy http.
T'en as des problèmes sévères toi ! ;-)
Ben tu hiérarchises ton site de façon à ce que l'adresse permette à la machine serveur de fournir les pages qui se trouvent sur l'autre machine.
Tu auras l'adresse http://xx.yy.zz.tt/site1/index.htm et puis http://xx.yy.zz.tt/site2/index.htm
Sur ton serveur web, tu t'arranges pour mettre dans le sous arbre de ton site principal un lien logique vers l'arborescence de la deuxième machine.
Par contre, si t'héberges Ebay et Google, je te conseillerai plutôt un second abonnement chez free (ou dedibox) ...

Ok, tu vas me répondre que tes deux machines ne sont pas toujours allumées ? Alors achète un synology ! Ou alors upload tes photos sur ton espace Free (et débrouille toi pour les rendres difficiles à trouver).

De toutes façons, si tu regardes bien mes posts ci dessus, tu verras que j'ai été le premier à fustiger le hardcoding du nombre 80 dans l'informatique de réseau ...

MacJL

[NAT] Montée en puissance de l'IPv6
« Réponse #56 le: 19 November 2008 08:01:03 »
Citation de: Furlax
Citation de: MacJL
Et si dans ton LAN tu as plusieurs ordis, et que deux d'entre eux veulent faire serveur web pour héberger les photos des vacances? On ne peux pas "ouvrir" le port 80 pour les deux sur du NAT. Donc l'un des deux devra utiliser un port exotique, qui aura de fortes chances de se faire refuser par la plupart des proxy http.
T'en as des problèmes sévères toi ! ;-)
Ben tu hiérarchises ton site de façon à ce que l'adresse permette à la machine serveur de fournir les pages qui se trouvent sur l'autre machine.
Moi j'aurais répondu une troisième machine (tout le temps online) qui fait reverse proxy sur virtual host, mais bon...
Maintenant, je veux pouvoir faire une conversation Audio/Vidéo sur une messagerie instantanée. Si tout le ponde est derrière un NAT, comme tu le préconise, comment va t'on ouvrir la session multimédia? Il n'y aura qu'un ordi qui aura le droit de faire de l'IM en A/V chez toi? Chez moi, ma femme voudrais bien que ça marche aussi sur son ordi, comment je fait quand j'ai "ouvert" les ports pour le mien?


Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #57 le: 19 November 2008 08:07:40 »
La vidéo/audio sous MSN marche sans port ouvert (et derrière un routeur) (à vérifier)
Je crois qu'un serveur intermédiaire est utilisé.

Mais peu importe ... encore une fois, c'est pas parce que MSN est mal codé que le routeur NAT est mal fichu.
Conceptuellement, tu crois que c'est infaisable de laisser choisir le port A/V sous MSN ? (ou de poser la question en gogol du style "combien d'autres machines utilisent déjà MSN sur votre LAN ?").
On pourrait facilement envisager que MSN diffuse un numéro de port ouvert à l'autre machine ... au lieu de "hardcoder" ces foutus ports. D'autant plus qu'il y a toujours un serveur intermédiaire pour l'établissement du contact.
Mais non ... il n'y a que quelques dizaines de millions d'utilisateurs ... c'est pas assez pour que les développeurs se sortent les doigts du bip. Par contre, le rébus qui s'affiche à chaque fois que je lis un message de djeunz, ça c'est possible (saloperie de jeunes qui écrivent en SMS en plus ... ;-) )

T'arrives à quel débit de transfert de fichier quand t'es en vue directe entre deux PC sous MSN ?

L'informatique sur internet (y compris le www) est peuplé de manchots.
Je l'ai vu arriver depuis le début.
Au début, j'étais un peu surpris par le niveau des applications ... par le business qu'on arrivait à générer autour de sites webs aussi pourris que Ebay (pour ne citer que celui-là) ... mais maintenant, tout le monde s'est fait une raison.

Chez Dell ... vous cherchez un consommable ou des infos sur un des éléments qu'ils vendent (genre la sacoche Dicota executive ... tu veux ses dimensions ...) ... circulez, y a rien à voir. Mais tout le monde trouve ça top ... ;-)

Sous aucun browser on ne peut même désactiver le son ... (pour éviter les bruits stupides des pubs quand on a le malheur de passer la souris au mauvais endroit ... ou quand on passe sur un site avec "ambiance sonore") et on est en 2008.

J'ai toujours trouvé que tous les browsers avaient été codés avec les pieds.
A chaque fois que j'ai commencé à coder une page web, je suis arrivé au contenu qui plantait le browser (et même le PC).

Si t'es sous XP (je plaisante ... vu ton avatar) et tes fenêtres affichent leur contenu pendant les déplacements. Ok, ouvre l'Exlorateur Windows en mode affichage de l'arborescence en panneau gauche et contenu du dossier courant en panneau droit (affichage par défaut) ... et arrange toi pour réduire la largeur et la hauteur de la fenêtre pour avoir des scrollbars verticaux sur les deux panneaux de la fenêtre ... et déplace ta fenêtre sur le bord de ton écran (en la faisant sortir puis rerentrer) en observant les cases à l'intersection des scrollbars.
Ce bug existe depuis la nuit des temps. Mais il y a trop peu d'utilisateurs pour qu'on le corrige.

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #58 le: 19 November 2008 08:32:35 »
Citation de: Furlax
Sinon, t'as qu'à développer un soft de port forwarding dans le routeur NAT de la freebox et capable de se greffer sur la demande d'autorisation du firewall windows
Mon post ne te citait pas directement mais résumait exactement ce que tu penses:
Citation de: nouknouk
... Ou comment dire avec pleins de cas particuliers: "expliquez moi de ce dont vous avez besoin, je vous expliquerai comment vous en passer ou bien comment implémenter dix programmes pour répondre à une limitation qui n'aurait plus lieu d'être avec IPv6".
Citation de: Furlax
L'informatique sur internet (y compris le www) est peuplé de manchots
Je l'ai vu arriver depuis le début.[...]J'ai toujours trouvé que tous les browsers avaient été codés avec les pieds.
T'es donc un visionnaire bien plus intelligent que le reste du monde. Ca en dit long sur ta capacité de se remettre en cause et ta capacité d'écoute.

Je vois même pas pourquoi tu perds ton temps à poster sur un forum. Un gars comme toi, ça devrait être en train de d'écrire les drafts de la prochaine génération de réseau. Celle qui te rendra riche et célèbre et qui anéantira en quelques années l'"ancien" internet tellement ta solution mettra en évidence les carences d'IPv6.

Comment ça se fait que tu n'as pas encore commencé ? Mais peut-être tu bosses déjà sur plein d'autres projets que tu pourrais nous présenter ? Je suis curieux, j'ai jamais encore eu l'occasion de jeter un oeil à du code de visionnaire...

MacJL

[NAT] Montée en puissance de l'IPv6
« Réponse #59 le: 19 November 2008 08:38:15 »
Citation de: Furlax
La vidéo/audio sous MSN marche sans port ouvert (et derrière un routeur) (à vérifier)
Je crois qu'un serveur intermédiaire est utilisé.
Beurk! Espionnage, débit minables, log des conversation, etc... Tout ça à cause du NAT :D

Citation de: Furlax
Mais peu importe ... encore une fois, c'est pas parce que MSN est mal codé que le routeur NAT est mal fichu.
Conceptuellement, tu crois que c'est infaisable de laisser choisir le port A/V sous MSN ? (ou de poser la question en gogol du style "combien d'autres machines utilisent déjà MSN sur votre LAN ?").
On pourrait facilement envisager que MSN diffuse un numéro de port ouvert à l'autre machine ... au lieu de "hardcoder" ces foutus ports. D'autant plus qu'il y a toujours un serveur intermédiaire pour l'établissement du contact.
Mais non ... il n'y a que quelques dizaines de millions d'utilisateurs ... c'est pas assez pour que les développeurs se sortent les doigts du bip. Par contre, le rébus qui s'affiche à chaque fois que je lis un message de djeunz, ça c'est possible (saloperie de jeunes qui écrivent en SMS en plus ... ;-) )
J'ai bien fait attention de ne jamais citer MSN dans mon message, car les autres systèmes d'IM fonctionnent de la même manière. D'ailleurs, je me f*** royalement de MSN. Mais pour que ton système fonctionne, il faut qu'il ouvre dynamiquement des ports dans ton NAT. D'où un besoin de l'UPnP, ou protocole aparenté... ...que tu décris toi même comme un trou de sécurité énorme!

MacJL

[NAT] Montée en puissance de l'IPv6
« Réponse #60 le: 19 November 2008 08:43:30 »
Citation de: Furlax
L'informatique sur internet (y compris le www) est peuplé de manchots.
[...]
Ce bug existe depuis la nuit des temps. Mais il y a trop peu d'utilisateurs pour qu'on le corrige.
Ca, ca ne fait pas avancer le débat IPv6/IPv4.

Citation de: nouknouk
T'es donc un visionnaire bien plus intelligent que le reste du monde.
[...]
j'ai jamais encore eu l'occasion de jeter un oeil à du code de visionnaire...
Et ça non plus...

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #61 le: 19 November 2008 08:44:06 »
Citation de: MacJL
Mais pour que ton système fonctionne, il faut qu'il ouvre dynamiquement des ports dans ton NAT. D'où un besoin de l'UPnP, ou protocole aparenté... ...que tu décris toi même comme un trou de sécurité énorme!
Non, tu choisirais ton port A/V sous MSN à l'install (exactement comme sous la mule) et tu forwarderais le port vers ta machine dans le routeur. Point.
Je vois pas où est la magie là dedans.
Rien de dynamique. Un port par machine du réseau ayant une webcam.
Tu fais bien de l'Emule/Kad avec plusieurs machiens derrières un routeur ... tu crois que c'est plus difficile de faire de l'A/V sous pager ?
Microsoft ne communique pas sur les ports à ouvrir pour que ça marche correctement.
De toutes façons, ils s'en foutent de nous. ;-)

MacJL

[NAT] Montée en puissance de l'IPv6
« Réponse #62 le: 19 November 2008 08:49:57 »
Citation de: Furlax
Non, tu choisirais ton port A/V sous MSN à l'install (exactement comme sous la mule) et tu forwardes le port vers ta machine dans le routeur. Point.
Rien de dynamique là dedans.
Microsoft ne communique pas sur les ports à ouvrir pour que ça marche correctement.
De toutes façons, ils s'en foutent de nous. ;-)
Bon, maintenant, il n'y a pas 4 ordis sur le réseau, mais 1000. Car avec la saturation des IPv4, on va devoir y arriver, et même très vite! Ce seront des quartiers ou même des villes qui seront dans un NAT pour qu'il reste assez d'IP publiques pour tous les pays. On va vite arriver à saturer le nombre de ports disponibles, car il en faut 1 par service * 1 par ordi du NAT. Et même si on ne le sature pas, qui va administrer tout ça? Qui va ouvrir un port dès que quelqu'un installera MSN (ou autre) dans le quartier?

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #63 le: 19 November 2008 08:58:25 »
Citation de: MacJL
Qui va ouvrir un port dès que quelqu'un installera MSN (ou autre) dans le quartier?
Le port sur 32 bits ... l'adresse sur 6 octets ... un système d'ouverture de ports à distance pour les plus djeunz (ceux qui n'étaient pas nés à l'époque ou tout le monde a compris le danger des routeurs administrés en SNMP) ... d'autres questions ?

Ca t'amuse de taper un truc long comme une clé MS Office à chaque fois que tu as besoin de saisir une adresse IP ?

Tu crois que ce serait plus difficile de transiter d'un IP sur 4 octet/port sur 2 octets vers un IP sur 6 octets port sur 4 octets ... plutôt que de passer à IPv6 (de toutes façon, ça passe par une phase 6to4 ...)

On ajouterait évidemment les 2 octets du coté faible de l'adresse.
On utiliserait un port tunnel pour spécifier que l'adresse de destination est du nouveau type ... et tout le routage des 4 octets d'adresse de poids fort resterait utilisable. La trame IP n'aurait pas changé d'allure de bout en bout.

Petit à petit (dès que leurs matos interne supporterait le choc), les plus grands domaines glisseraient du réseau de classe B à l'adresse IPv4 unique (mais proposant 65536 adresses en IP sur 6 octets). Les domaines seraient donc petit à petit rendus ... dans un premier temps, certains serveurs auraient gardé une adresse IPv4 en plus de leur nouvelle adresse.


nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #64 le: 19 November 2008 08:59:58 »
Citation de: MacJL
Et même si on ne le sature pas, qui va administrer tout ça? Qui va ouvrir un port dès que quelqu'un installera MSN (ou autre) dans le quartier?
J'ajouterai à n'importe quelle heure du jour et de la nuit ? le tout en moins de 100ms afin que la mobilité de réseau à réseau puisse s'effectuer ?
Citer
Franchement, ça t'amuse de taper un truc long comme une clé MS Office à chaque fois que tu as besoin de saisir une adresse IP ?
Pas plus que de trifouiller dans mon NAT pour forwarder chaque plage de ports au moindre besoin.

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #65 le: 19 November 2008 09:13:15 »
Vous racontez n'importe quoi ...
C'est quoi cette histoire de routeur NAT de quartier ? t'es en prison ?

Si t'enlèves la porte de ta maison, t'es déjà un peu à la rue.

Si t'en as marre de trifouiller ton routeur NAT et si t'es exhibitionniste, bascule une plage de 100 ports en TCP et autant en UDP vers chaque machine de ton LAN. Ensuite, à chaque installation de soft, tu pioches dans ce qui reste.

Si le soft ne permet pas de choisir le port, c'est sans doute du brun (dixit Kad). Si ton proxy n'aime que le port 80, fous le à la poubelle ou signe une pétition.

Combien de bits pour une adresse à scope local ?
J'espère qu'avec tout ça, Mme Michu arrivera à adresser son imprimante ...

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #66 le: 19 November 2008 09:26:08 »
Citation de: Furlax
Vous racontez n'importe quoi ...
C'est quoi cette histoire de routeur NAT de quartier ? t'es en prison ?
Non, mais à cause des limitations d'IPv4, on se retrouve aujourd'hui avec du NAT partout. Et si on doit continuer sur IPv4 comme tu le proposes, on continuera donc avec des NAT, des super NAT, des méga NAT, etc... toute une hiérarchie de réseaux NATés depuis le backbone mondial jusqu'au sous-réseau du client final.

Une exemple concret et déjà d'actualité: quid des NAT qu'on ne peut pas administrer nous même. Par exemple, l'ensemble de la téléphonie mobile repose sur le système IPv4 + NAT. L'explosion des usages mobiles aidant, il faudra bien qu'on puisse à terme ouvrir des ports entrants sur le terminal mobile. C'est les services dit "always on".

Dans ce cas là, je le configure comment le 'gros NAT' de mon opérateur ?

On développe une application supplémentaire pour faire l'équivalent d'un uPnp spécifique ? qu'on porte sur Symbian/WM/IPhone/les dizaines d'OS proprios ? Pis on déclare de fait que l'utilisation de cette application est le nouveau standard auto-proclamé ?

C'est marrant, c'est finalement exactement ce qu'on fait actuellement dans la téléphonie mobile. Le coût de déploiement d'un simple service comme le 'push mail' est exhorbitant. C'est pas moi qui le dit, ce sont les opérateurs qui n'ont qu'une hâte: de passer au v6 non seulement pour leur réseau mobile, mais également pour homogénéiser avec l'ensemble de leurs réseaux et réduire les coûts d'exploitation et de déploiement de nouveaux services.

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #67 le: 19 November 2008 09:39:33 »
Citation de: nouknouk
si on doit continuer sur IPv4 comme tu le proposes
Ca fait plusieurs post que tu t'adresses à un proxy de moi qui se trouve dans ta tête ... essaye la touche F5.

Citation de: nouknouk
ce sont les opérateurs qui n'ont qu'une hâte: de passer au v6 non seulement pour leur réseau mobile, mais également pour homogénéiser avec l'ensemble de leurs réseaux et réduire les coûts d'exploitation et de déploiement de nouveaux services.
Qu'est-ce qui les en empèche aujourd'hui ?
C'est marrant, à chaque transition, on nous sort les mêmes arguments foireux ... la réduction de coût ...
Plus personne n'est dupe.
Les opérateurs veulent au contraire continuer à maitriser les ports pour empècher la VOIP et l'usage de la 3G en modem sauvage. C'est à reculons qu'ils ouvrent le full accès au web ... et depuis peu.

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #68 le: 19 November 2008 09:54:46 »
Tu n'as toujours pas répondu à la question technique, de la même façon que tu ne m'as pas trouvé de solution concrète en remplacement des réponses qu'apporte IPv6 pour la mobilité, la sécurisation, la QoS, la montée en charge, la multi-diffusion, ...
Tu as préféré parler de manchots d'internet, de secrétaires, de médecins, de Dell, d'eBay et même des bugs de l'explorateur windows.

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #69 le: 19 November 2008 10:24:00 »
Citation de: nouknouk
J'ajouterai à n'importe quelle heure du jour et de la nuit ? le tout en moins de 100ms afin que la mobilité de réseau à réseau puisse s'effectuer ?
Bof, c'est pas plus compliqué de demander le forwarding de n ports TCP et m port IP à l'arrivée sur un site (Handover) et d'envoyer une trame de binding update sécurisée au site DDNS en INTEGRANT LES CORRESPONDANCES DE PORTS obtenues ...

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #70 le: 19 November 2008 11:25:48 »
Citation de: nouknouk
il faudra bien qu'on puisse à terme ouvrir des ports entrants sur le terminal mobile. C'est les services dit "always on".
Le always on nécessiterait des ports entrants ? Tu confonds pas port entrant et paquet arrivant ?
Une connexion sortante peut véhiculer des paquets entrants ...
La question est donc de savoir s'il est interressant de pouvoir joindre un portable (qui n'a rien demandé) sur un nouveau port. Supposons que oui ...

Une solution ? (je t'en ponds 10 à la minute des comme ça)

Supposons qu'il faille composer avec un seul port UDP entrant partagé ... dans les trames, on case un descripteur quelconque permettant d'aiguiller le paquet. Dans le mobile, un service d'Androïde distribue ces trames aux services abonnés (qui ont chaqu'un leur port d'écoute ... cf. le descripteur dont je parle 2 lignes au dessus).

(ça peut s'envisager en UDP over TCP : où qu'il soit, le portable ouvre systématiquement une connexion vers un serveur qui lui fourni des trames UDP qui lui sont adressées)

Si quelqu'un a besoin d'une connexion ouverte en permanence (genre débit important), il n'a qu'à laisser un message au mobile en lui demandant de le rappeler.

De toutes façons, il est plus logique que ce soit le mobile qui ouvre toutes les connexions (ne serait-ce que pour faciliter le handover, c'est à dire ouvrir la nouvelle connexion bien avant que le soft à l'autre bout n'ai été prévenu de la fermeture de la connexion précédente)
Ce genre de handover est très rapide et présente des chemins "immédiatement optimaux" que le mécanisme de handover décrit par IPv6 est loin d'approcher.

Evidemment, tu vas me demander comment on fait quand deux mobiles veulent se parler ... c'est à dire quand le demandeur de la connexion ne peut pas recevoir de connexion entrante ...
On se couche parterre et on pleure ? On passe par un intermédiaire ...


Sovitec

[NAT] Montée en puissance de l'IPv6
« Réponse #71 le: 19 November 2008 11:46:49 »
Je suis admiratif devant la détermination de Furlax pour trouver des arguments afin de ne pas admettre qu'il ait pu avoir tort.
La mauvaise foi à ce degré c'est carrément du grand art. :lol:

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #72 le: 19 November 2008 11:49:32 »
C'est ce que disait l'avocat de mon ex femme aussi ...
furlax = un ton délibérément furieux et laxatif.

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #73 le: 19 November 2008 11:51:45 »
Citation de: Furlax
Ok, tu veux une solution ? (je t'en ponds 10 à la minute des comme ça)
Là est bien le problème: pour vendre ta solution bancale, pour chaque point précis tu vas trouver ta petite solution située entre le workaround et le hack dégeulasse.

Ta vision basée sur des 'rustines', c'est le genre de démarche qui peut marcher dans le développement du jeu de serpent que tu développes dans ton canapé.
Mais c'est une vision court-termiste, attachée aux petits détails techniques spécifiques pour un besoin localisé et spécifique.

On pourrait continuer longtemps comme ça: un autre exemple de problème ? Allons-y: mon mobile veut pouvoir broadcaster à 300 clients la vidéo qu'il capture en direct ?

Toi tu vas me répondre ce que tu m'as répondu juste au dessus:
Citer
On passe par un intermédiaire ...
En d'autres termes: Bien sûr, pas de souci: il va se connecter à lui-même à un serveur qui s'occupera de récupérer la connexion entrante du mobile, ainsi que les connexions entrantes des 300 'viewers' et puis forwarder chaque paquet provenant du mobile à chacun des 300 clients.
Effectivement, techniquement c'est faisable, c'est même ce qu'on fait actuellement. On t'a pas attendu pour ça.

Mais ce n'est pas efficient. Rien que l'ajout d'un serveur, sa maintenance, le coût de la bande passante, le trafic généré sur le réseau, la latence, la QoS, etc... ce sont autant d'arguments au désavantage de la solution actuelle. Que va-t-il se passer quand j'aurai 1000 clients, 10 000, 100 000, etc ? Je vais monter des clusters de serveurs ? A quel prix ? Bizarrement, ce sont le genre de points pourtant essentiels qui font partie intégrante de la problématique et que toi tu passes sous silence, vraisemblablement parce qu'ils ne vont pas dans le sens de ta solution que tu défendras coûte que coûte, jusqu'à l'absurde.

La multiplication de ce genre de rustines ce n'est en aucun cas avoir une vision pragmatique, globale et efficiente d'architecture, capable de prendre en compte les besoins génériques d'un réseau mondialisé, son évolutivité, son adaptabilité, son déploiement, sa maintenance.

C'est toute la différence entre le particulier qui sait faire du forwarding de port pour les trois terminaux de son réseau derrière sa Freebox, et le 'pro' qui déploie des solutions globales pour des entreprises, ou des marchés entiers.

Il y a des milliers de petits problèmes multiplié par des milliers d'applications existantes et à venir qui vont avoir ces petits problèmes. Quel coût pour implémenter ces rustines comparé au coût de déploiement d'une nouvelle version d'IP ?

Bref,

- Toi tu es prêt à tout pour vendre ton opinion bancale, quitte à aller jusqu'à dire "j'ai ce problème spécifique, j'apporte mon hack à 2 centimes pour le résoudre". Le particulier ou l'amateur éclairé, il ne voit pas la différence et n'a pas forcément conscience des répercussions que peuvent avoir de tels choix techniques : répercussions financières, logistiques, ... qui font toute la différence  entre un solution technologique qui va faire que le service ci-dessus sera économiquement viable, évolutif et proposant une réelle valeur ajoutée au client et une autre solution qui ne le sera pas.

- Le pro, il la voit la différence. Il n'est pas prêt à prévoir un budget pour chaque hack bancal qui lui sera indispensable avec la solution actuelle. Il comprend que l'avenir du réseau à moyen terme ce sont des équipements inter-connectés qui vont tout autant récupérer du contenu qu'en fournir ; il a conscience au quotidien des coûts engendrés par les limitations techniques inhérentes au modèle IPv4 + NAT et il sait que tout ce qu'il dépense en ce moment à cause de ces limitations, c'est autant de budget qu'il ne peut pas consacrer au développement de nouveaux services innovants.

Bien au delà d'un simple problème de nombre d'adresses disponibles (même si c'est un vrai problème, loin d'être mineur), c'est l'évolution des services et donc de l'usage même du réseau qui conditionne le déclin du modèle 'client / serveur', qui lui-même est à l'origine du besoin d'une nouvelle génération du protocole IP. On en revient à mon premier post:
Citation de: nouknouk
L'intérêt d'IPv6 est surtout de boulverser la conception même du réseau internet, à savoir passer :
- d'un schéma proche du minitel où les clients utilisent à 90% le réseau pour downloader ce que proposent des serveurs
- à un schéma qui est plus proche de ce que propose le P2P actuellement: chaque acteur récupère autant du contenu qu'il n'en fournit.
Je te retourne donc la question: pourquoi les grand décideurs en matière de télécoms ont préféré la solution d'IPv6 plutôt que la tienne, si ingénieuse (les arguments "c'est un complot" et "ils sont tous bien trop c.. comparé à moi" ne comptent pas) ?

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #74 le: 19 November 2008 13:10:39 »
Ok, t'as modifié ton post, mais je réponds quand même à ta question au sujet du multicast 1 to 300 à partir d'un mobile ...
Y a pas de multicast en IPv4 ? J'ai toujours cru que si ... mais bon ...
On peut toujours trouver des applications difficiles justifiant telle ou telle solution ... après, c'est l'usage général qui doit faire l'essentiel de la norme.
Je me contrefous du prix du multicast 1 to 300.
Au moins, mes hacks à 2 centimes ne gonflent pas ceux que ça n'interresse pas.
Ceux que ça interresse peuvent se payer un serveur au lieu de pomper les ressources communes en faisant implémenter un protocole trop complexe dans tout boitier.
Si t'ajoutes le besoin de time shift (sans stockage du coté du viewer) ou n'importe quel traitement à ton broadcast (compression divx/audio de qualité, fusion d'images type mosaïque de chaines), tu fais comment sans serveur avec ton portable ?

Mais tu as raison. En plus, ton exemple parait effectivement assez basic : de la visio multi-conférence à 300 sur IPhone ... le truc de base ...

L'infrastructure nécessaire pour IPv6 n'est pas forcément plus légère que celle qu'on a en ce moment ... me trompe-je ?
Ce que tu appelles serveur aujourd'hui, demain, tu vas l'intégrer au matos réseau ... et hop, tu dira qu'il n'y a plus de serveur ... mais toutes les spécifs du protocole IPv6, il va bien falloir les implémenter.

Et puis arrête de faire du darwinisme sur la techno (ça existe et des gens biens l'ont choisi, donc c'est bien). Des trucs pires qu'IPv6 sont passés en production et se trouvent partout. Le darwinisme, je ne le conçois que pour les normes de fait (dont fait partie TCP/IPv4).
Tout le monde sait que les ingénieurs réseaux adorent se valoriser. Que chacun tire la couverture à lui pour que le maximum de trucs relèvent de sa compétence. Et t'as toujours les lobby Cisco et Cie qui poussent à la roue pour qu'on garde ceci ou pour qu'on ajoute cela. Les états qui ne veulent pas d'une sécurité inviolable ... la RIAA qui ne veut plus de P2P ... etc ... etc ...
Au final, t'as le directeur informatique de la société X ... archi-briefé depuis des années par ses fournisseurs ... t'as du matos qui arrive et des produits qui ne sont bientôt plus maintenus ... Et bien le gars il fonce là où on lui dit d'aller. Ensuite t'as les djeunz qui on eu la moyenne à l'UV réseau IPv6 ... qui arrivent en poste et que ça traumatiserait de devoir réapprendre des trucs.

Demande à un fabriquant de cuisines de te résoudre ton problème de broadcast, et tu découvriras ce qu'est une hotte à 300 évacuations ...

Tu me parles de hack dégeulasse ? je te réponds qu'IPv6 est une usine à gaz dégueulasse.

Une pénurie d'adresse ? ... hop on passe en adresses infinies. Besoin de mobilité ? Hop on fait du handover connecté. Et au final, on s'apperçoit que dans le cas concret d'utilisation, même la machine à gaz implémentée ne suffit pas, et on repasse aux mêmes hacks que je préconise (et qui ne sont pas des hacks, mais juste des solutions pas si inélégantes que ça, surtout quand le besoin évolue).
En IPv6, on trouvera sur les réseaux des paquets dont on ne saura ni l'origine réelle ni la destination.

Question : pourra-on faire du Handover multimodal ? (genre mon mobile 3G arrive sur une zone wifi puis passe en wimax). Entre deux adaptateurs réseau différents, des adresse MAC différente ... oui ou non ?
Si c'est non, avec le handover silencieux, on n'a pas gagné une demi ligne de code dans les mobiles de l'année prochaine.

Sur 48 bits (6 octets), on code 300 000 milliards d'adresses.
Quelle considération justifie 128 bits d'adresse ? Quel horizon, quel usage ? Des nanomachines ? Le besoin de coder ton prénom ASCII dans ton adresse IP ?
Avec IPv6, on leur file le desert, mais je vous fiche mon billet que dans 10 ans ils viendront nous racheter du sable.

Tu me parles de QoS IPv6, de handover plus rapide que la lumière et moi j'ai dans mon Dell Vostro 1710 acheté il y a 6 mois un adaptateur wifi qui toutes les 10 secondes génère un lag de 100ms because scan wifi fait par le pilote zindows.

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #75 le: 19 November 2008 15:13:43 »
Citation de: Furlax
On peut toujours trouver des applications difficiles justifiant telle ou telle solution ... après, c'est l'usage général qui doit faire l'essentiel de la norme.
Ca tombe bien: l'usage général est en train d'évoluer et le protocole IP en conséquence.

Citer
Je me contrefous du prix du multicast 1 to 300.
100% d'accord: les questions de coût sont si secondaires... :rolleyes:

Citer
Au moins, mes hacks à 2 centimes ne gonflent pas ceux que ça n'interresse pas.
Tes hacks comparés à IPv6, ils gonflent juste les développeurs d'applications, les admins réseaux, les backbones, ..., jusqu'aux directeurs financiers.
Citer
Ceux que ça interresse peuvent se payer un serveur au lieu de pomper les ressources communes en faisant implémenter un protocole trop complexe dans tout boitier.
Tu as bien raison pour les 'ressources communes': mieux vaut 100 fois plus de trafic sur les liens d'un réseau plutôt que des routeurs remplacé par des autres routeurs.
Citer
Mais tu as raison. En plus, ton exemple parait effectivement assez basic : de la visio multi-conférence à 300 sur IPhone ... le truc de base ...
Tiens, on vient de me parler de webcam capable de diffuser en direct sur le web, de télésites, de net-radios, d'IPTV, de push, ... qui veulent supporter la montée en charge.
Mais t'as raison, toi ça t'intéresse pas (enfin pas tant que t'es occupé à ... 'argumenter'), donc qui est-ce que ça pourrait intéresser ?
Citer
Ce que tu appelles serveur aujourd'hui, demain, tu vas l'intégrer au matos réseau ... et hop, tu dira qu'il n'y a plus de serveur
C'est exactement ma pensée: un équipement de routage et un serveur d'applications c'est exactement la même chose... d'ailleurs je me demande pourquoi on utilise des mots différents :rolleyes:
Citer
... mais toutes les spécifs du protocole IPv6, il va bien falloir les implémenter.
Oui, une fois pour toutes. Mais ce serait tellement mieux que tout le monde implémente les mêmes fonctionnalités chacun dans son coin (mon côté Darwiniste sans doute).
Citer
En IPv6, on trouvera sur les réseaux des paquets dont on ne saura ni l'origine réelle ni la destination.
Je vois avec bonheur que tes craintes concernant le flicage permis par ce 'sale protocole liberticide' se sont évanouies !
Citer
Tout le monde sait que les ingénieurs réseaux adorent se valoriser.
Un excellent argument en faveur de ta solution. :lol:
Citer
Au final, t'as le directeur informatique de la société X ... archi-briefé depuis des années par ses fournisseurs ... t'as du matos qui arrive et des produits qui ne sont bientôt plus maintenus ... Et bien le gars il fonce là où on lui dit d'aller.
C'est vrai qu'un opérateur comme Orange, c'est le bon 'gogo typique de TPE' qui prend ce qu'on veut lui vendre parce qu'il est incapable d'avoir sa propre opinion. Le pauvre, ça se comprend: c'est pas son coeur de métier....

Ah tiens, on vient de me dire qu'eux aussi participent activement à la spécification d'IPv6. Je comprends plus rien alors ^^

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #76 le: 19 November 2008 15:35:26 »
Et pour la question du traitement post prise de vue et avant multicast ? tu le fais faire par le UTP ?
Citation de: nouknouk
C'est vrai qu'un opérateur comme Orange, c'est le bon 'gogo typique de TPE' qui prend ce qu'on veut lui vendre parce qu'il est incapable d'avoir sa propre opinion. Le pauvre, ça se comprend: c'est pas son coeur de métier....
Attends, laisse moi réfléchir ... Orange, c'est pas eux qui vendent l'IPhone ?
Citation de: nouknouk
Ah tiens, on vient de me dire qu'eux aussi participent activement à la spécification d'IPv6. Je comprends plus rien alors ^^
Et alors, t'as jamais noyauté un colloque ?
Je croyais que le protocole existait depuis 10-15 ans ? T'es sûr que tu confonds pas avec le V23 ?
Sérieux, y a de l'IPv6 chez Orange en ce moment ? Des tests ? Y aurait pas l'appat de l'adresse fixe dans la participation à ce test (adresse fixe pas gagnée d'office chez Orange) ?
C'est quoi déjà la pénétration d'IPv6 en France ? 0,65 % ? Chez Free ? Pourquoi ? Telesites ? Case à cocher visible en bonne place dans l'interface de gestion ? Et combien ont pris l'anti-virus MacAfee en s'inscrivant chez Free ? Est-ce que ça fait plutôt d'eux des gens distraits, des gogos ou des utilisateurs soucieux de leur sécurité ?
Combien ont cliqué sur "Activer Ipv6" parcequ'ils croyaient que c'était "activer" suivi d'un smiley de monobrow tirant la langue et dans une chaise roulante ? (en tout cas, si ma'ame Michu a cliqué, c'était pas par lassitude envers le tunneling vers RENATER)

Enfin bref, la révolution IPv6 est en route ... rien d'autre en vue pour éviter la pénurie d'adresses IP ... restera la possibilité de se bidouiller un routeur NAT IPv6 soi-même (monopoliser une bécane et ses deux ports gigabit pour servir de passerelle entre le réseau privé et le réseau public, et programmer vite fait un petit routeur stateful). Dommage pour les temps de latence.

On pourrait pas avoir une baston style Blueray vs HDDVD pour la succession d'IPv4 ? Aucun constructeur n'a expérimenté un truc plus simple, compatible dans les deux sens et sans tunneling ...?

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #77 le: 20 November 2008 10:51:41 »
Petite question subsidiaire : Où peut-on trouver une doc à jour et complète écrite en bon français ou en bon anglais sur IPv6 ? (tous mécanismes)
Tout ce que j'ai lu sur le sujet pour le moment était soit incomplet, soit obsolète, soit bourré de fautes (genre pas relu une seule fois).


Marco PAULOT

[NAT] Montée en puissance de l'IPv6
« Réponse #78 le: 20 November 2008 11:32:22 »
Citation de: Furlax
Petite question subsidiaire : Où peut-on trouver une doc à jour et complète écrite en bon français ou en bon anglais sur IPv6 ? (tous mécanismes)
Tout ce que j'ai lu sur le sujet pour le moment était soit incomplet, soit obsolète, soit bourré de fautes (genre pas relu une seule fois).
Si cela peut t'intéresser, voici tout ce que j'ai pu récolter sur le sujet jusqu'à maintenant:
http://livre.point6.net/index.php/Accueil
http://www.urec.cnrs.fr/article387.html
http://www.commentcamarche.net/contents/internet/ipv6.php3
http://www.francetelecom.com/sirius/rd/fr/ddm/fr/technologies/ddm200308/techfiche2.php
http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-004/CERTA-2006-INF-004.html
http://www.lima.icao.int/MeetProg/2008/AUTO/06%20AutoSemCARSAM_Seguran%C3%A7a%20IPv6.pdf
http://ftp://ftp.netbsd.org/pub/pkgsrc/current/pkgsrc/README-IPv6.html
http://go6.net/ipv6-6bone/
http://6bone.informatik.uni-leipzig.de/ipv6/stats/stats.php3 (attention: ce lien ne semble pas marcher actuellement)
http://web6.remlab.net/pr/check/
http://www.ipv6-taskforce.org/index.php?page=news/newsroom
https://6to4.nro.net/ (attention: ce lien ne semble pas marcher actuellement)
http://www.tzim.net/?2006/03/29/42-le-6to4-c-est-bien-mais
http://ip6.fr/free-broute/
http://ipv6gate.sixxs.net/
http://rosie.ripe.net/ripe/meetings/ripe-57/presentations/uploads/Thursday/Plenary%2014:00/upl/Colitti-Global_IPv6_statistics_-_Measuring_the_current_state_of_IPv6_for_ordinary_users_.7gzD.pdf

...Espérant que cela puisse t'être d'une quelconque utilité,
Cordialement  

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #79 le: 20 November 2008 11:53:50 »
Au passage, le rapport du gouvernement -même s'il date un peu- est également plutôt intéressant: Les enjeux du déploiement du protocole IPv6.

Contrairement à la plupart des autres publications, il ne met pas uniquement l'accent sur la problématique de l'adressage, mais parle également des autres aspects et des limitations d'IPv4 (QoS, mobilité, NAT, lourdeur dans le routage, P2P, coûts de maintenance, ...) avec -pour une fois- quelques chiffres à se mettre sous la dent.

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #80 le: 20 November 2008 13:36:49 »
Citation de: Marco PAULOT
Cordialement
Merci.
Citation de: nouknouk
(...) à se mettre sous la dent.
Merci aussi.

Je vais étudier ça en profondeur ...

danpar

[NAT] Montée en puissance de l'IPv6
« Réponse #81 le: 20 November 2008 21:47:29 »
je suis passer en  IPv6 par contre dans le protocole TCP/IP je suis maintenant obliger de le configurer sur:  
Obtenir une adresse IP automatiquement car mon ancienne configuration avec mon IP la passerelle que je trouve sur mon compte sa ne fonctionne pas?
si quelqu'un à tuyau?
Cordialement a tous

Marco PAULOT

[NAT] Montée en puissance de l'IPv6
« Réponse #82 le: 21 November 2008 02:03:56 »
Citation de: danpar
je suis passer en  IPv6 par contre dans le protocole TCP/IP je suis maintenant obliger de le configurer sur:  
Obtenir une adresse IP automatiquement car mon ancienne configuration avec mon IP la passerelle que je trouve sur mon compte sa ne fonctionne pas?
si quelqu'un à tuyau?
Cordialement a tous
...Tu trouveras peut -être quelques réponses à mon post #79... Sinon je sais que la question a été abordée ou sur FN, ou sur le JdF, vas donc chercher dans leurs forums...  

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #83 le: 21 November 2008 08:35:21 »
Bref, pour moi, IPv6, c'est la garantie d'un truc open source genre Tor chez tout le monde dans 3 ans (évidemment pas la version actuelle, qui ne fait que du mode connecté, avec serveurs fixes et choix du chemin). Et là, la répression passera un cran au dessus (la privacy et le DL seront assimilés à de la complicité de pédophilie ... ce que les majors nous disent depuis des années) : prison à vie pour ceux qui auront le soft de DL chez eux ... et on aura tous un bracelet au pied.

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #84 le: 21 November 2008 08:47:46 »
Citation de: Furlax
Bref, pour moi, IPv6, c'est la garantie d'un truc open source genre Tor chez tout le monde dans 3 ans (évidemment pas la version actuelle, qui ne fait que du mode connecté, avec serveurs fixes et choix du chemin). Et là, la répression passera un cran au dessus (la privacy et le DL seront assimilé à de la pédophilie ... ce que les majors nous disent depuis des années) : prison à vie pour ceux qui auront le soft de DL chez eux ... et on aura tous un bracelé au pied.
IPv4 ou IPv6, ça ne changera absolument rien question flicage.

Aujourd'hui, si tu as une IP(v4), même dynamique avec ton terminal derrière un NAT, à partir du moment où les autorités décident d'intervenir, ils ont le nom qui va en face de l'IP publique.
t s'il faut aller chercher plus loin, derrière le NAT, parce que l'IP publique correspond à l'abonnement d'une personne morale (administration/entreprise/...) ça se fait tout aussi bien grâce aux logs, toujours aussi exigeables par l'autorité et dont la conservation est obligatoire.

Quand aux autres allégations et 'anticipations' de ton post, rien de plus que du FUD.


Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #85 le: 21 November 2008 08:54:07 »
Je te parle de privacy : le même outil permettra d'empècher Auchan de savoir que t'es déjà passé sur leur site (IPv6), de télécharger la grande vadrouille sans se faire gauler (Hadopi) et aidera la criminalité (effet de bord).
Entre parenthèses, tu as les fautifs.
Aujourd'hui, le mode privacy des navigateurs est largement basé sur une politique de gestion des cookies et de certaines fonctionnalités (telles que le renvoi d'IP local par une applet java téléchargée ou l'envoi de la page précédemment affichée). Evidemment il y a aussi l'historique de navigation qui est désactivé, etc ... L'IP vu par l'autre bout de la connexion n'est pas suffisament discriminant pour que les sites concoivent leur relation client sur cette base (sessions). Mais ça va changer avec IPv6.
De même que les mamies iront en taule parce que leur voisin aura hacké leur wifi (t'as prévu quoi pour éviter cette complexité extraterresstre pour configurer un réseau Wifi de façon sécurisée ? IPv6 ne le fait pas en push button ? Mince, ma'ame Michu va devoir se former un peu quand même) pour publier la recette secrète du cassoulet, elles iront aussi en taule pour avoir voulu télécharger des motifs de crochet open source (le même voisin ayant utilisé leur exit-node Tor-like pour dire que le pouvoir en place est méchant).
Les forums non modérés à priori pourront tous fermer leurs portes. On ne pourra plus commenter aucune news (les mécanismes d'inscription ne seront pas plus fiables).

Enfin, il faudra que tu m'expliques quel log tu veux fournir aux autorités pour dire qui était connecté derrière le NAT ... personne (à part tes professionnels ?) ne conserve ça ... de toutes façons, tu veux loger quoi ? des adresses MAC modifiables ?

Mettre tout le monde sur le réseau global (y compris Ma'ame Michu) alors que le net a toujours été conçu pour que cet accès soit réservé à des personnes responsables (responsables de ce qui se passe dans leur domaine), c'est la fin de trucs dans l'esprit du blocage par défaut du SMTP sortant (que Free a mis en place, et qui est typiquement une mesure ciblée vers Ma'ame Michu).

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #86 le: 21 November 2008 09:22:37 »
Citation de: Furlax
Enfin, il faudra que tu m'expliques quel log tu veux fournir aux autorités pour dire qui était connecté derrière le NAT ... personne (à part tes professionnels ?) ne conserve ça ... de toutes façons, tu veux loger quoi ? des adresses MAC modifiables ?
Va falloir comprendre que ta freebox et tes trois portables derrière ton NAT ne constituent pas l'unique façon de définir l'accès au réseau. Tu as grosso modo deux cas de figure:

- soit il s'agit d'un accès d'un particulier auprès d'un FAI. Dans ce cas, c'est le souscripteur de l'abonnement qui est mis en cause.

- soit il s'agit d'un accès par une autre entité (personne morale). Dans ce cas c'est une entité qui a pour obligation de conserver les logs. Après si l'entité ne les conserve pas, c'est son choix mais elle se met hors la loi et prend de fait la responsabilité de tout ce qui aura pu être fait avec son réseau.

Pour le reste, on pourra discuter quand tu avanceras des arguments un poil moins catastrophistes et 'spectaculaires' (dans le mauvais sens du terme) que ceux ci-dessus.

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #87 le: 21 November 2008 09:26:06 »
20 000 euros d'amende par fichier téléchargé si t'as un serveur emule en Allemagne (qui ne fait que mettre en relation les clients).
Ca te parait assez spectaculaire ? Assez outrancier comme peine (et c'est une loi qui n'est même pas lié à la pédophilie ... mais aux droits d'auteur) ? 100 M€ de dettes, ça te parait assez "contraignant" comme bracelet électronique à la patte ?
Le réseau Tor arrive de la façon la plus "gentille" qui soit : t'es obligé de faire un max de manips pour devenir exit-node et le ban des exit-nodes connus permet encore de se préserver (normal, c'est conçu par une autorité américaine qui a des considérations très différentes : genre un réseau d'ambassades et le besoin d'émettre un message sans qu'on sache d'où il vient). Le réseau emule est arrivé de la même façon ... tout le monde pouvait être serveur, mais c'était une chose qu'il fallait quand même vraiment vouloir.
Mais ajoute seulement une case à cocher dans la prochaine morphXT (en dessous de la case "brouiller le protocole") ou un autre "Tor-button" dans firefox qui te rend impossible à tracer en UL ou qui modifie ta pile TCP/IP pour que ton surf soit distribué ... et tu verras que ça partira en live en 3 mois.

Au prochain retournement d'atlantisme, quand on remarquera que des trucs comme echelon ne sont peut-être pas un mal nécessaire et que la CNIL se réveillera sur les fichiers d'adresses IP collectés par des organismes qui n'ont rien d'officiel ... on découvrira peut-être l'intéret pour tous d'une certaine "privacy", modérée mais inaliénable, qu'on avait sous IPv4 mais qu'on perd sous IPv6.
[newage]IPv6, c'est l'introduction des lapins en australie. Un truc tombé du ciel qui va faire réagir la nature. Il fallait au contraire faire preuve de beaucoup plus de respect de l'existant.[/newage]

[conspirationnisme]Les fabriquants de matos réseau sont noyautés pour mettre des backdoors dans leurs produits. Les spécialistes réseaux ne savent pas ce qu'ils ont en prod. Un jour la capacité de Binding Update caché échappera à ceux qui se la sont réservée, mais personne n'en saura rien.[/conspirationnisme]

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #88 le: 21 November 2008 09:43:49 »
... à dans trois mois alors :rolleyes:

En attendant ni le corchet open source, ni le cassoulet m'ont convaincu des danger d'IPv6 pour le réseau lui-même et pour la prochaine recrudescence de la cyber-criminalité (criminels qui ont évidemment attendu qu'on leur implémente IPv6 pour utiliser le réseau à mauvais escient).

Mais je me trompe peut-être. Ajoute bien ce thread à ta liste de favoris, pour pouvoir poster bientôt "je vous l'avait bien dit".

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #89 le: 21 November 2008 09:56:24 »
Citation de: nouknouk
Ajoute bien ce thread à ta liste de favoris, pour pouvoir poster bientôt "je vous l'avait bien dit".
C'est pas de syllogisme FUDesque dont il s'agit ici ... c'est de mépris historique.

T'auras beau montrer des épisodes des experts Miami avec Horatio qui te zoome un pixel de moniteur pour trouver le point d'entrée d'une aiguille sur le bras d'un macabé ... avec des images satellites "nettoyées" au point que tu vois des empruntes sur les carrosseries ... avec des cyber-délinquants poursuivi par une pouf avec des nattes ... y a un truc bien pire que ce qu'on aura gagné qui aura foutu le camp.
Une certaine catégorie de virus/backdoors, sera "légale" et obligatoire (cf. l'obligation relative à JAP en Allemagne, y a rien qui leur fait peur outre-rhin ... je suis hyper troublé d'un point de vue historique sur ce genre de dérive).

nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #90 le: 21 November 2008 10:08:32 »
En bref, si je résume tes propos:

- ipv6 cay-le-mal parce que tout le monde va se faire hacker ses terminaux réseaux en moins de temps qu'il ne faut pour le dire

- 10 posts plus loin, ipv6 cay-le-mal parce que ça va complètement alourdir le réseau avec des trucs inutiles (au moins pour toi).

- 20 posts plus loin, ipv6 cay-le-mal parce que tout le monde va être cent fois plus fliqué, sauf les criminels qui eux trouveront là un moyen de mieux anonymiser leurs échanges.

- enfin IPv6, cay-le-mal parce que ça va nous conduire tout droit à une redite des moments les plus sombres de notre histoire.

Bref, rien de plus qu'un argumentaire crescendo de déclinologue réactionnaire: il te faut trouver une bonne raison pour montrer qu'ipv6, cay-le-mal, coûte que coûte.

Dommage pour la qualité du débat. Une autre fois peut-être ?

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #91 le: 21 November 2008 10:10:01 »
T'as renoncé à passer au-delà du stade de la réfutation impressioniste ?
Je vais te résumer mon point de vue en deux phrases :

1) Le contraire du totalitarisme, c'est de promouvoir des changements diminuant, pour un nombre croissant, l'attrait de la clandestinité.

2) Tout changement introduit artificiellement sur un milieu peuplé d'acteurs pas complètement cernés, mène soit à une dérive fatale, soit à une réaction de ce milieu visant à retrouver le stade antérieur.

Vouloir imposer le point 2 en menant à tout le monde la dragée haute conduit immédiatement aux problèmes de point 1.

Il est urgent de graduer la "privacy" ... de permettre aux gens de rester anonymes vis à vis d'un site web en établissant un mécanisme (tel que celui que proposait IPv4 + NAT) permettant de chasser le criminel quand on a un mandat de justice (c'est ça la liberté en informatique).
IPv6 échoue totalement sur ce point CRUCIAL.
Même les téléphones ont ce double niveau élémentaire de "privacy" (tu peux cacher ton numéro à tes parents quand tu les appelles, mais pas à un commissariat).


nouknouk

[NAT] Montée en puissance de l'IPv6
« Réponse #92 le: 21 November 2008 10:26:34 »
Toutes mes félicitations !

Tu viens tout juste de gagner un point Godwin, ce qui annonce par là-même la fin de la discussion.

Furlax

[NAT] Montée en puissance de l'IPv6
« Réponse #93 le: 21 November 2008 10:43:53 »
Tu ne manques pas de répartie ... j'adore ;-) ... en plus, c'est trop bien trouvé pour que je fasse autre chose que de reconnaitre les faits ;-)
Je n'ai pas dit que IPv6 était totalitaire ... je dis seulement que des Etats pourraient se laisser plus facilement séduire par des lois liberticides une fois qu'il ne sera plus possible de faire la part des choses entre la privacy, le DL et la cyber-criminalité lourde.
Si IPv6 avait prévu un mécanisme de type "IPv6 mobility" mais intitulé "IPv6 privacy" ... par exemple, la possibilité de "bouger son IP" à la volée en changeant (au niveau du HA par exemple) son HoA contre un CoA ... les HA étant toutefois astreint à garder les logs pour la police ... et bien j'aurais rien dit du tout. C'était ce genre d'anticipation que j'attendais d'une release du protocole web, pas des conneries de sécurisation déjà implémentées en applicatif (SSL). La sécurité par le tiers authentifiant, ça marche bien.
Je crois que des travaux sont en cours à ce sujet (pour IPv6) ... reste à espérer qu'ils aboutiront avant que tout le monde soit sur un tor-like.
Comment comptes-tu interdire le canabis le jour ou la gauloise planquera une barette dans chaque cartouche de clopes ? Tu seras obligé d'interdire de fumer.
Toi qui es si jeune ... te rappelles-tu quand le cookie a été inventé et pourquoi ?
A l'origine, c'était rien d'autre qu'un workaround du routeur NAT. (Des sites http faisaient clairement de la session http en se basant uniquement sur l'IP à une certaine époque ... ça donnait lieu à des trucs folklo même avec les connexion RTC quand les adresses étaient redistribuées trop vite)
Si tu acceptes le fait que les cookies peuvent être une menace sur la vie privée, t'es obligé d'admettre que le routeur NAT a un intéret de ce même point de vue.

Quand un nouveau truc arrive, on punit toujours d'abord les concepteurs ... qui passent underground et le soft passe sans serveur ... et ensuite on punit les utilisateurs.
L'idée de forcer les développeurs de JAP à mettre un backdoor parraissait bonne à certains en premier recours (l'équivalent du log des routeurs NAT) ... mais ça a tué le projet, parce que ce backdoor peut être utilisé pour lutter contre de petits larcins autant que contre les grands.

De toutes façons, le totalitarisme était implicite dès le début (dès qu'on parle de privacy, on sous-entend son contraire).
J'aurais pu continuer à parler des adresses en forme de clés Windows XP ... ou de tous les autres thèmes évoqués précédement.
On a quand même laissé trainé un nombre impressionnant de points que j'ai soulevé.
Mais je suis d'accord pour dire que mes arguments les plus récents sont moins techniques. Et c'est avec grand plaisir que je vais finir mon projet en cours plutôt que de re-poster ici ;-)

EDIT : comme j'aime bien les métaphores foireuses, en voici une dernière ...
le web est un milieu peuplé de bestioles assez diverses et où on trouve notamment des moustiques qui piquent les majors et quelques autres gros mammifères, mais pas tant que ça (et surement pas autant qu'on nous le dit), sachant que ça pique surtout les plus gros, ceux dont le sang est sucré, et qu'il y en a des très maigres qui trouvent la ponction bénéfique ... ça leur fait faire un peu d'exercice en leur redonnant le gout de l'innovation, de l'organisation d'évènements et de la performance live.
Pour l'instant, quand y a un gros problème de malaria localisé, l'humain peut utiliser du super timor ... mais la loi Hadopi en est le DDT et IPv6 sera peut-être le nouveau milieu (une tempète cosmique ?) favorisant la mutation. Quand plus rien ne marchera (quand le super timor sera inefficace parce que son principe actif était de l'extrait concentré de DDT), il faudra s'habituer à la crise de palu ou s'attendre à recevoir de grosses trainées de napalm sur l'occiput (genre P2P interdit, interdiction de l'open source trop facile à modifier à de mauvaises fins, interdiction des OS sans back door, etc). Déjà, des spécialistes allemands (plutôt en mécanique des fluides, malheureusement) ont essayé d'introduire des moustiques auquels un bagage génétiquement modifié conférait des particularités anatomiques du coté de l'arrière train (gps, vaccin contre la malaria et même contre l'envie de boire un coup tranquille) mais bizzzarement, aucun autre moustique n'a eu envie de copuler avec ceux-là.

Les projets dans le genre de TOR (qui ne sont que des esquisses inachevées en version 0.2) considèrent la couche transport comme s'il s'agissait d'une couche physique : l'utilisateur choisit le chemin qu'empruntera sa connexion dans les noeuds connus, il se fabrique son propre réseau virtuel). Les couches liaison, réseau et transport construites à partir de là, sont sécurisées en "pelures d'oignon" et véhiculent les paquets de proche en proche, sans savoir d'où ils proviennent et où ils vont finir. Les attaques contre TOR sont envisageables (engorgement du réseau, blacklistage des exit nodes, étude temporelle des noeuds). De plus, quand les services accédés sont en clair, les noeuds sortants peuvent s'amuser à examiner les données qu'ils servent : on perd en sécurité ce qu'on gagne en anonymat (un hacker peut s'en servir pour espionner impunément l'activité web, ce qui est particulièrement cynique quand on voit les efforts déployés pour rendre la chose "privée"). Mais quand le service accédé est spécifiquement conçu dans une optique de consultation anonyme et/ou sécurisée (par exemple un soft de P2P ou un site crypté), ça devient impossible à visualiser du coté de l'exit node. Pour l'instant, UDP n'est pas proposé ... les requêtes DNS sont donc le point faible en consultation web subversive (mais ça fonctionne bien avec les sites commerciaux : le site visité ne sait rien de la consultation DNS préalable). Les sites de criminalité (genre terrorisme) ont rarement un domaine inscrit en DNS.
Actuellement, les organismes évaluant le téléchargement en P2P réalisent leurs statistiques en accèdant aux données récoltées par les serveurs, lequels réalisent parfois leur rôle d'intermédiaire, parfois pas. L'étude statistique sera déjà plus difficile quand on ne pourra plus se baser sur des catalogues exaustifs, mais qu'il faudra analyser le résultat de requêtes plus ou moins ciblées par le nom (les catalogues de fichiers partagés n'étant plus centralisés), sachant que certains fichiers ont un nom sans rapport avec leur contenu (essentiellement les fakes introduits pas les majors, mais parfois aussi des fichiers cryptés au nom grimmé, soit pour passer inaperçu, soit pour devenir quelquechose de recherché que certains stoqueront un certain temps ... la clé et le lien étant fournis ultérieurement, sur un autre média). De ce fait, même on peut considérer que les sites diffusant des liens vers du contenu sous copyright, participent à la réduction du nombre de fichiers téléchargés "en aveugle" et dont la diffusion peut constituer un danger. On peut aussi considérer que ces sites entretiennent l'attrait pour le téléchargement illégal en le facilitant (c'est à dire en annulant le risque de fake). Enfin, on peut se demander si quelqu'un s'occupe de vérifier ce qui transite un peu partout (pour voir s'il n'y a pas des données cachées dans des canaux subliminaux). De toutes façons, il faut bien se dire une chose : les considérations de justice ouverte ne sont pas forcément conciliables avec des considérations de lutte plus secrête contre la criminalité. EmuleIsland peut très bien être un moyen de communication pour barbouzes javanaises ...

Le mécanisme "à la KAD" ne met personne à l'abri d'une connexion directe et d'une demande de disponibilité (t'as la grande vadrouille ? ok, tu vas recevoir une lettre). Mais que va-t-on faire une fois la lettre reçue ? (une fois l'amende payée et la ligne rétablie)
Même la sécurité routière diffuse les coordonnées gps des radars fixes ... (n'est-ce pas ?)
J'ai une grosse voiture et je me fais prendre en excès de vitesse ... je paye ou je dépose mon permis ... je me jure de ne pas recommencer ... puis arrive le detecteur de radar fixe ... mais à quoi de légal peut bien servir un détecteur de radar fixe ?

L'arrivée d'anonymisations multi-usages (P2P, consultation web), sans serveurs, composés de noeuds mandatés pour renseigner sur une partie des fichiers partagés (directement ou non) par certains voisins (et de fournir les données associées) situés à une distance aléatoire en nombre de sauts (réseaux développés sur des résultats d'analyse markovienne, le receveur final étant toujours en mesure de sélectionner les sources de données effectivement les plus rapides), les choses seront vraiment moins faciles à pister, même avec l'aide des FAI, des routeurs et de 10% des noeuds. Bien sûr, on pourra toujours modifier le code du soft et en faire un loggeur de noeuds ... on pourra même savoir que le noeud X propose la grande vadrouille si on la lui demande. Mais l'utilisateur du noeud X n'aura rien fait pour proposer la grande vadrouille. Il faudra donc lui coller une peine forfaitaire (la réclusion criminelle à perpétuité), basée sur le seul fait qu'il utilise un logiciel d'anonymisation forte.
Je précise que ce qui est écrit ci-dessus s'apprend en 20 minutes de google et que je ne suis interressé par un poste de développeur (genre projet albator, rotor, stator ou velociraptor) ni dans les montagnes afghanes, ni a Gantanamo.

123xyz123

[NAT] Montée en puissance de l'IPv6
« Réponse #94 le: 27 November 2008 00:56:50 »
Waaaah j'ai trouvé mon trolleur préféré, j'aurais du repasser sur le thread plus tot...