[Marco PAULOT]

Bon une bonne raison pour passer a l'IPv6 : C'est inévitable, tu ne pourra pas faire autrement, on devra tous y passer pour tout savoir sur l'IPv6 :
http://livre.point6.net/index.php/Accueil tu verras qu'en bas de la page il y a un compte à rebours, c'est celui de la fin d'IPv4 passé se délais plus IPv4 dispo.

Sinon je pense qu'en lisant ce livre (numérique certes) tu devrais avoir toutes les explications que tu n'as jamais rêver avoir sur l'IPv6.

Bon courage.

Merci pour le lien: je l'avais déjà en marque-page; mais ça a l'air tellement facile à installer (utiliser ?)...  

...bon, alors, voyons donc: il me reste donc 1068 j 09 h 40 mn et (ça bouge toujours, là) s = près de 3ans: il va falloir que je prenne des cours accélérés, alors !  

Mais tu as bien dit: "passé se délais plus IPv4 dispo" ! Ben, j'ai déjà une adresse IPv4, alors...  

je propose d'exterminer tout les pays émergents qui vont avoir besoin d'IP. C'est vrai, c'est eux qui vont bouffer le reste. Attendez on me dis dans l'oreillette que ca se fait pas. Zut ! Peut être que finalement on va vraiment en avoir besoin de cet Ipv6

...ne me fais pas dire ce que je n'ai pas dit: je suis bien conscient de la nécessité de cet IPv6 dans un avenir proche, et tout particulièrement pour les pays émergents... mais quand je vois la panade dans laquelle se débattent la plupart des (apprentis ?) geeks depuis qu'ils ont essayé de l'installer, je crois qu'il est urgent d'attendre !  

[-=Ben42=-]

attendre encore  aller grosso-modo 1000 jours
après les FAI enverrons un email a tous leurs clients pour leur dire "Bonjour, mise a jour du réseau Internet, tous les utilisateurs de Windows en version antérieures a WinXP SP2, n'auront plus d'accès au net, veuillez faire un Upgrade d'ici les 10 prochains jours, ou passer a Linux "
J'imagine déjà assez le bordel que ça va etre dans certaines entreprises, toutes les appli professionnelles qui sont codés sans avoir de support IPv6, tous les Windows NT qui tournent encore pour des appli bien spécifiques qui ne faut 'surtout pas toucher' :lol: (ni mettre à jour) ... Aïe Aïe Aïe ... le beau bo**el que ça va etre !
M'enfin, fallait réfléchir avant, en attendant merchi Free d'avoir proposé l'IPv6 assez tôt pour se préparer au bug de l'an ~2011

[Marco PAULOT]

attendre encore  aller grosso-modo 1000 jours
après les FAI enverrons un email a tous leurs clients pour leur dire "Bonjour, mise a jour du réseau Internet, tous les utilisateurs de Windows en version antérieures a WinXP SP2, n'auront plus d'accès au net, veuillez faire un Upgrade d'ici les 10 prochains jours, ou passer a Linux "
J'imagine déjà assez le bordel que ça va etre dans certaines entreprises, toutes les appli professionnelles qui sont codés sans avoir de support IPv6, tous les Windows NT qui tournent encore pour des appli bien spécifiques qui ne faut 'surtout pas toucher' :lol: (ni mettre à jour) ... Aïe Aïe Aïe ... le beau bo**el que ça va etre !
M'enfin, fallait réfléchir avant, en attendant merchi Free d'avoir proposé l'IPv6 assez tôt pour se préparer au bug de l'an ~2011

...propagateur d'angoisse, va ! Allez, tu me rappelles l'an prochain pour voir où en est l'anticipation du beau redel ?    

Burp !

[Furlax]

Je comprends pas ces mecs qui râlent parce qu'un routeur NAT bloque VNC ... Back orifice et autre trojans "d'administration à distance", c'est rien d'autre que des VNC qui s'installent tous seuls. Qu'il faille ouvrir un port dans le routeur NAT est un effort minimum pour celui qui entreprend d'installer un truc comme VNC, ça peut même être fait à distance (avec le mot de passe free).
Pour le reste, vous en faites pas, les Trojans savent très bien ouvrir des ports dans les firewall les plus connus.
Si le routeur NAT n'est pas la panacée en matière de sécurité, ne vous faites pas pire que ceux que vous dénoncez en déclarant qu'un firewall est LUI la panacée en matière de sécurité. On peut pas sécuriser l'idiot qui clique n'importe où. Mais celui-là ne m'interresse pas. Je cherche simplement à sécuriser la machine qui arrive sur le réseau et souhaite télécharger des mises à jour sans se faire hacker d'entrée de jeu.
Pour le reste, on sera ipv6 partout bientôt. Mais s'il y a toujours un boitier par lequel transite tout le flux qui entre chez moi, j'aimerais bien conserver la capacité (par défaut) pour ce boitier de se comporter en tant que routeur NAT (et accessoirement en tant que serveur DHCP, histoire que mes PC locaux aient toujours une adresse locale qui ne dépende pas de mon FAI du moment).

[Sheld]

Le fait que le NAT/PAT mappe du "Plusieurs vers Un" rend impossible une liaison de bout en bout, et ceci a pour conséquence d'ignorer les connexion entrantes sans règles de configuration explicite. Mais cela n'est pas une finalité, et est plutot un problème récurent du nat.

Le manque de liaison de bout en bout est problématiques pour les VPNs par exemple. En aucun cas cela doit se substituer a un antivirus de passerelle ainsi que des régles de firewalling adéquates sur les routeurs sensibles (gateway pour réseau domestiques), réseau de distribution en entreprise, etc...

On est d'accord, je tenais juste à préciser pour Furiax entre autres que le but du NAT n'est pas de bloquer les connexions entrantes. Il est dangereux de penser qu'un NAT protège de toutes les formes d'intrusions, les connexions entrantes à travers un NAT restant possibles dans certaines conditions.

[MacJL]

Qu'il faille ouvrir un port dans le routeur NAT est un effort minimum pour celui qui entreprend d'installer un truc comme VNC, ça peut même être fait à distance (avec le mot de passe free).

Et comment fais-tu lorsque tu dois mettre le VNC sur 2 machines qui sont derrière le NAT?

[hinoto]

Pour le reste, vous en faites pas, les Trojans savent très bien ouvrir des ports dans les firewall les plus connus.

Les passerelles étant de plus en plus Upnp les trojans savent aussi ouvrir les ports dedans hélas ^^
De plus, si tu initie la connexion, tu ne sera pas protégé ^^.

[Furlax]

Et comment fais-tu lorsque tu dois mettre le VNC sur 2 machines qui sont derrière le NAT?

Tu affectes à chaque accès VNC son port de redirection. Une connection vers le port 4444 peut être traduite par le routeur NAT en un accès au port 5900 d'une des machines. Le port 4445 pourra être traduit en un accès au port 5900 sur l'autre machine. Donc, par exemple, si tu te connectes (avec le client) à "Ton_IPv4:4444", tu taperas sur une des machines.

Tu peux faire plus simple en conservant le même numéro de port sur tes machines locales (pour éviter une translation de numéro de port), mais ça implique une configuration du serveur VNC lors de l'installation (numéro du port à écouter 5900 --> 4444 sur l'une et 5900 --> 4445 sur l'autre).

[Furlax]

Pour le reste, vous en faites pas, les Trojans savent très bien ouvrir des ports dans les firewall les plus connus.

Les passerelles étant de plus en plus Upnp les trojans savent aussi ouvrir les ports dedans hélas ^^
De plus, si tu initie la connexion, tu ne sera pas protégé ^^.

On parle bien de Freebox là, non ?

Si tu inities la connexion (si ton trojan le fait), c'est que le programmeur a laissé sa signature (d'une façon ou d'une autre) dans le code du virus. C'est plus rare. De toutes façons, je ne m'occupe pas du cas ou le trojan est dans la place. Ce type de lutte est plutôt l'affaire d'un antivirus.

Les firewall que j'ai testé (Kerio, firewall hardware de ma carte nforce) m'ont toujours pompé des ressources (sans parler des mises à jour de soft mal comprises, des interdictions données trop vite et qui mettent certains softs en boucle).

Le seul truc, c'est de pas oublier de rebooter (une fois de plus) la fbx après un hard reboot de fbx : après la séquence des 4 mises sous tension successives, la freebox désactive le mode routeur ... et là, si t'as pas de firewall actif ... ben c'est dommage.

[MacJL]

Et comment fais-tu lorsque tu dois mettre le VNC sur 2 machines qui sont derrière le NAT?

Tu affectes à chaque accès VNC son port de redirection. Une connection vers le port 4444 peut être traduite par le routeur NAT en un accès au port 5900 d'une des machines. Le port 4445 pourra être traduit en un accès au port 5900 sur l'autre machine. Donc, par exemple, si tu te connectes (avec le client) à "Ton_IPv4:4444", tu taperas sur une des machines.

Tu peux faire plus simple en conservant le même numéro de port sur tes machines locales (pour éviter une translation de numéro de port), mais ça implique une configuration du serveur VNC lors de l'installation (numéro du port à écouter 5900 --> 4444 sur l'une et 5900 --> 4445 sur l'autre).

Je savais que tu allais répondre ça. Sauf que le port du VNC officiel, c'est le 5900, pas le 4444. Rien de bien méchant pour le VNC, il suffit de spécifier le port de destination lors d'une connexion, mais ce n'est pas "propre".
Prends maintenant le cas d'un serveur Web. Bien sûr, tu peux utiliser le port 80 pour une machine, et le port 81 pour une autre par exemple. Mais il te faudra alors spécifier le port utilisé dans l'URL de ton site. D'une part ce n'est pas joli, mais en plus ça risque de ne  pas marcher si tu passes par un proxy (par défaut, squid bloque l'accès sur les port non standard).
Dernier cas, les sessions Audio/Video dans les logiciels de Chat: tu ne peux pas spécifier dans ton logiciel le port à utiliser pour contacter ton correspondant. Là, il n'y a pas de solutions avec un NAT...

Bref, le nat est un gros hack créé pour lutter contre le manque d'IP. Si on peut s'en séparer rapidement, il ne faut pas hésiter!

[Furlax]

les connexions entrantes à travers un NAT restant possibles dans certaines conditions.

Ah bon ?
C'est possible d'avoir des précisions à ce sujet ? (comment serait adressée la machine cible notamment)

[MacJL]

On parle bien de Freebox là, non ?

Si tu inities la connexion (si ton trojan le fait), c'est que le programmeur a laissé sa signature (d'une façon ou d'une autre) dans le code du virus. C'est plus rare. De toutes façons, je ne m'occupe pas du cas ou le trojan est dans la place. Ce type de lutte est plutôt l'affaire d'un antivirus.

Les firewall que j'ai testé (Kerio, firewall hardware de ma carte nforce) m'ont toujours pompé des ressources (sans parler des mises à jour de soft mal comprises, des interdictions données trop vite et qui mettent certains softs en boucle).

Le seul truc, c'est de pas oublier de rebooter (une fois de plus) la fbx après un hard reboot de fbx : après la séquence des 4 mises sous tension successives, la freebox désactive le mode routeur ... et là, si t'as pas de firewall actif ... ben c'est dommage.

Les firewall que tu utilisent ne sont peut-être pas bons. (Je ne sais pas, je n'en utilise pas ). Mais ce n'est pas pour ça que le NAT est une bonne chose.
En fait, il faudrais juste que la freebox intègre un Firewall minimaliste pour l'IPv6 : bloquage de toutes les connexions entrantes par défaut en IPv6, configurable (comme le NAT) et surtout, désactivable...

[hinoto]

Pour le reste, vous en faites pas, les Trojans savent très bien ouvrir des ports dans les firewall les plus connus.

Les passerelles étant de plus en plus Upnp les trojans savent aussi ouvrir les ports dedans hélas ^^
De plus, si tu initie la connexion, tu ne sera pas protégé ^^.

On parle bien de Freebox là, non ?

Si tu inities la connexion (si ton trojan le fait), c'est que le programmeur a laissé sa signature (d'une façon ou d'une autre) dans le code du virus. C'est plus rare. De toutes façons, je ne m'occupe pas du cas ou le trojan est dans la place. Ce type de lutte est plutôt l'affaire d'un antivirus.

Les firewall que j'ai testé (Kerio, firewall hardware de ma carte nforce) m'ont toujours pompé des ressources (sans parler des mises à jour de soft mal comprises, des interdictions données trop vite et qui mettent certains softs en boucle).

Le seul truc, c'est de pas oublier de rebooter (une fois de plus) la fbx après un hard reboot de fbx : après la séquence des 4 mises sous tension successives, la freebox désactive le mode routeur ... et là, si t'as pas de firewall actif ... ben c'est dommage.

Pas tout le monde utilise la freebox comme routeur, des gens ont des fois des routeurs domestiques derrière. La par contre...

[tototutu]

Rappel: les firewalls et les antivirus ne protègent évidemment pas contre les nombreuses erreurs de programmation qui sont incluses dans les applications conçues pour communiquer avec internet comme les navigateurs.

Il faut avant tout surveiller les failles critiques connues et non corrigées dans ces logiciels, et ne pas les utiliser tant qu'ils en comportent (c'est-à-dire utiliser un autre logiciel équivalent et corrigé plus rapidement).

Des sites comme Secunia tiennent à jour la liste des failles critiques connues et pourtant toujours non corrigées (unpatched) pour chaque logiciel:
http://secunia.com/product/


Internet Explorer et Windows détiennent des records en la matière:
http://securite.reseaux-telecoms.net/actualites/lire-windows-une-vulnerabilite-de-8-ans-et-toujours-pas-de-solution-17870.html
non corrigé depuis 8 ans aujourd'hui !

http://secunia.com/internet_explorer_7_popup_address_bar_spoofing_test/
non corrigé depuis 514 jours aujourd'hui !

[Marco PAULOT]

Rappel: les firewalls et les antivirus ne protègent évidemment pas contre les nombreuses erreurs de programmation qui sont incluses dans les applications conçues pour communiquer avec internet comme les navigateurs.

Il faut avant tout surveiller les failles critiques connues et non corrigées dans ces logiciels, et ne pas les utiliser tant qu'ils en comportent (c'est-à-dire utiliser un autre logiciel équivalent et corrigé plus rapidement).

Des sites comme Secunia tiennent à jour la liste des failles critiques connues et pourtant toujours non corrigées (unpatched) pour chaque logiciel:
http://secunia.com/product/


Internet Explorer et Windows détiennent des records en la matière:
http://securite.reseaux-telecoms.net/actualites/lire-windows-une-vulnerabilite-de-8-ans-et-toujours-pas-de-solution-17870.html
non corrigé depuis 8 ans aujourd'hui !

http://secunia.com/internet_explorer_7_popup_address_bar_spoofing_test/
non corrigé depuis 514 jours aujourd'hui !

...pas mal, mais dans le même registre, peut-être en moins approfondi (quoique !?), mais EN FRANÇAIS, il existe Secuser:
http://www.secuser.com/

et, par exemple, dernière alerte de ce jour:
http://www.secuser.com/vulnerabilite/2008/080322-word.htm

...très utile et plus accessible aux francophones... en plus, on peut s'abonner aux alertes de sécurité et... LES COMPRENDRE:
http://www.secuser.com/newsletters/index.htm#secuser_alert

...pour qui qu'en veut !...  

[Furlax]

[...]mais ce n'est pas "propre".

Ipv4 : 154.33.27.12:4444
ipv6 : 147.32.34.78.23.43

Je vois un tout petit point qui passe d'un entroit à un autre ... pas de quoi fouetter un chat ou un forum.
Pour le problème particulier des serveurs dont le port est traditionnellement "figé" (serveurs http sur 80, ftp sur 21, etc), je crois qu'il serait plus interressant de hiérarchiser les sites au niveau d'un serveur principal.
De toutes façons, je ne plaide pas forcément en faveur de l'IPv4 ... mais en faveur du routeur NAT ... ou d'un firewall hardware en plus de l'IP IPv6 ...

[rafal98]

Bonjour, desolé mais je suis pas sur d'avoir compris.

Aujourd'hui j'utilise un routeur ca j'ai plusieurs PC. En activant l'IPv6 je peux supprimer mon routeur ?
Si j'heberge des serveurs WEB par exemple, je voudrais avoir des IP fixes pour chaque PC. Il faut donc que j'active le routeur de la FB et que j'utilise les "Baux DHCP permanents", c'est ca ? Ils sont cependant encore exprimé en ipv4 mais peut etre qu'il y a une adresse IPv6 associé a cette adresse locale.

Le mieux c'est que je teste, mais si quelqu'un pouvait me dire si j'ai tout faux, ca m'eviterait de tout casser

(edit) PS: en fait mon besoin c'est d'avoir des IP fixes public pour mes PC, car j'ai un jeu Age of the Conqueror (oui c'est vieux) qui necessite d'avoir une IP public (le nat ne marche que pour un seul des PC). La seule solution aujourd'hui c'est le VPN ...

Merci

[Moogle]

Pour l'instant, si tu mets tes serveurs Web sur IPv6, ils ne risquent pas d'être joignable facilement, puisqu'il faut que les personnes en face soient aussi connectées en IPv6. Et pour ton jeu, je doute qu'il supporte l'IPv6 également.

[lolofurieux]

Avec la nouvelle classe IPv6 que nous fournit free, si on veut utiliser notre propre routeur,il faudrait que l'on puisse paramettrer des routes IPV6 dans l'interface de notre freeBox. Garder la classe 2a01:e35:xxxx:xxx0::/64 comme classe d'interco entre notre ou nos routeurs privés et la freebox.
j'ai testé, si on demande un traceroute6 vers une adresse en 2a01:e35:xxxx:xxx1::y cela passe bien par notre freebox, mais ensuite cela ne passe pas

[thierry_78]

Une solution pour utiliser un routeur de type linux derriere une freebox.
http://cv.arpalert.org/page.sh?freeipv6