Il n'y a effectivement AUCUNE règle concernant une IP de plus d'un an.

Il y a plein de règles concernant la rétention des infos de connexions et logs sur une durée de plus de 1 an.

Et changer l'IP une fois par an est un moyen simple de répondre à la règle sur la durée de rétention des infos et logs.
On peut dire effectivement que Orange fait simple, mais dans tous le fatras des règles que Orange doit suivre, c'est une position comme une autre concernant le deuxième points.

Levieux

Alors, là, je ne vois vraiment pas le rapport avec les logs de connexion pendant un an ni leur destruction au bout d'un an du moment que les logs sont horodatés.

- l'ouverture peut se faire en désignant le HOST "par son nom". La LB est supposé maintenir le lien entre le HOST et l'IPv6 utilisée
=> cela répondrait bien au besoin
=> j'ai jamais regardé comment la LB maintient ce lien ?
=> permet d'utiliser un port standard.

Dans "Mes équipements connectés", la Livebox ne liste qu'une IPv6 (ça semble être l'IP temporaire, mais peut-être que ce n'est pas toujours le cas).
Dans la réponse DNS, elle liste les deux IPv6 (temporaire et stable), ce qui n'est d'ailleurs pas forcément une bonne idée.
Pour un usage d'hébergement, idéalement la règle de firewall devrait être sur l'IPv6 stable uniquement.

Tiens d'ailleurs,
quand il y a une demande d'identification sur adresse IPV6, la recherche se fait tout le préfixe ou sur l'adresse /128 indiquée par le plaignant uniquement ?
Le préfixe identifie un utilisateur, mais le /128 n'identifie personne en particulier, surtout qu'il change toutes les 24h pour le même utilisateur avec la privacy.
Bon après, le /128 donne le préfixe, forcément, j'ai rien dit 

pour l'hebergement la delegation de prefix semble être la solution la plus pereine (et la tendance par ailleurs vu qu'elle arrive sur Android). Apres tout ca serait bien d'utiliser le /56 et pas juste le 1er /64.

Le problème du moins chez Orange c'est qu'on a aucun façon simple d'ouvrir les flux vers un /64 délégué sans passer en mode personnalisé. et la encore y'a pas ouverture 'full' mais juste une liste préfinie de protocoles...

idéalement il faudrait juste pouvoir specifier des délégations réservées (via DUID ou @MAC) et une option pour ouvrir ou pas le firewall pour une délégation réservée.



si une machine fait une demande DHCPv6-PD avec cette @MAC elle recevra le prefix d'index 1 (2a01:xxxx:xxxx:9001::/64  dans ce cas) et le parefeu laisse tout passé pour ce préfix.

C'est  completement dynamique, si le préfix global du client change, le préfix délégué aussi mais c'est toujours le meme prefix index (1 ici).

Ca ne me semble pas compliqué a mettre en oeuvre mais sans doute pas concevable pour ceux qui décident chez Orange donc on continuera a remplacer nos livebox...

c'est un mockup que j'ai fait pas l'interface réelle...

en l'état la livebox peut déléguer plusieurs /64 mais pas un /63 ou plus grand.