La Fibre

Citation de: basilix le 15 mai 2024 à 08:15:18

ip -6 route et regarde ta default. C'est une LL.

edit :

Les paquets ne sont pas routés avec des LLA.
On ne peut pas utiliser à la fois une LLA et une GUA dans l'en-tête d'un paquet IP.

Les paquets routés ne contiennent pas l'adresse du routeur. Seules les adresses source et destination doivent être routables.

Titre: SFR NB6 : mise en place d'une DMZ IPV6
Posté par: basilix le 15 mai 2024 à 11:14:46

Une LLA est systématiquement associée à une interface pour pouvoir faire abstraction de la configuration d'une adresse IP.

Citation de: kgersen

Il est rare d'utiliser une GUA d'un autre subnet pour router vers un subnet ce n'est pas recommandé.

Citation de: ppn_sd

Les paquets routés ne contiennent pas l'adresse du routeur. Seules les adresses source et destination doivent être routables.

Ces assertions sont tout simplement fausses. En principe, chaque nœud dispose d'une adresse GUA pour communiquer avec des nœuds situés dans d'autres réseaux.
Un routeur dispose de plusieurs adresses GUA, chacune dans un réseau auquel il est connecté. Grâce au concept de route, on rattache une adresse L3 à une adresse L2.
La route peut changer (l'adresse L2 est modifiée à chaque saut) mais pas la direction (adresse L3). Ce sont les adresses IP qui permettent de définir des réseaux logiques.
En d'autres termes, la logique de réseau est fondée sur des adresses IP routables. On définit ainsi où les paquets peuvent aller et de quelle façon y aller par composition
(AS...). L'Internet (interconnexion de réseaux) est décentralisé grâce à la multitude de jonctions mais hiérarchisé au niveau IP (recollé de bouts en bouts).

Je me demande bien comment un paquet avec une LLA peut être acheminé à un nœud dans un autre réseau. D'un côté on est restreint à un domaine de diffusion, de l'autre
on accède à des milliards de nœuds.

Titre: SFR NB6 : mise en place d'une DMZ IPV6
Posté par: ppn_sd le 15 mai 2024 à 11:19:50

Voilà un peu de lecture qui pourra t'être utile : https://www.rfc-editor.org/info/rfc7404 (https://www.rfc-editor.org/info/rfc7404)

Citation de: basilix le 15 mai 2024 à 11:14:46

Je me demande bien comment un paquet avec une LLA peut être acheminé à un nœud dans un autre réseau.

Lis-tu les réponses qui te sont données ?

Citation de: basilix le 15 mai 2024 à 11:14:46

Ces assertions sont tout simplement fausses.

Es-tu sûr de vouloir donner une leçon réseau à @kgersen ?

Titre: SFR NB6 : mise en place d'une DMZ IPV6
Posté par: basilix le 15 mai 2024 à 15:03:13

@ppn_sd :

Je ne donne pas de leçon et c'est en faisant des erreurs qu'on apprend.

D'ailleurs, je viens de m'apercevoir que j'avais mal lu le schéma général d'une DMZ. Je croyais qu'une DMZ était formée avec deux routeurs alors
qu'en fait il s'agissait de deux dispositifs pare-feux distincts mais pas sur deux routeurs : un routeur et deux équipements pare-feux.

[05/22 16:30] Note : Un dispositif matériel faisant pare-feu (firewall appliance, en anglais) est un routeur avec des fonctionnalités dédiées pour filtrer des paquets.

(https://upload.wikimedia.org/wikipedia/commons/thumb/6/60/DMZ_network_diagram_2_firewall.svg/640px-DMZ_network_diagram_2_firewall.svg.png)

Source : Wikimedia.org

J'étais encore persuadé qu'un réseau local segmenté en sous-réseaux était forcément constitué avec plusieurs routeurs. Alors qu'on peut avoir un seul routeur relié à plusieurs commutateurs.
Je ne sais pas si cela est significatif niveau sécurité. C'est plus facile d'imaginer un sous-réseau protégé par un routeur faisant pare-feu (d’où ma méprise).

Cela change quelque peu ma conception de la topologie d'un réseau local segmenté. Avant, j'assimilais la jonction entre un routeur et un commutateur comme équivalente à la jonction entre
deux routeurs. En fait, on a deux types de réseaux : un sous-réseau d'infrastructure (réseau entre les deux routeurs) et au moins deux sous-réseaux de distribution.

Au final, je ne suis même pas certain qu'on parle tout à fait de la même chose. Ce qui m'intéresse, en dépit de l'interface d'administration du sujet, c'est la route existante vers une vraie DMZ.

Titre: SFR NB6 : mise en place d'une DMZ IPV6
Posté par: xp25 le 15 mai 2024 à 15:06:08

D'où ma question Basilix ;)

Titre: SFR NB6 : mise en place d'une DMZ IPV6
Posté par: ppn_sd le 15 mai 2024 à 15:34:10

Citation de: basilix le 15 mai 2024 à 15:03:13

Je ne donne pas de leçon et c'est en faisant des erreurs qu'on apprend.

Pas d'accord. On ne peut pas dire tout et son contraire à quelques posts d'intervalle et avec le même aplomb.

Citation de: basilix le 15 mai 2024 à 15:03:13

Au final, je ne suis même pas certain qu'on parle tout à fait de la même chose.

De quoi parles-tu d'ailleurs ?

Titre: SFR NB6 : mise en place d'une DMZ IPV6
Posté par: basilix le 15 mai 2024 à 17:15:34

@xp25 :

Il faudrait que je mette encore à niveau car cette question en recouvre d'autres. :D

@ppn_sd :

Je faisais référence aux préfixes distribués au LAN et sans faire référence aux liens entre routeurs.

On peut imaginer un réseau local composé de trois réseaux reliés entre eux par un routeur principal. Ce n'est pas la même chose qu'un réseau de routeurs.
Dans ce cas, la table de routage du routeur principal contient les préfixes des trois réseaux et renvoie tout le trafic restant vers le FAI.

Titre: SFR NB6 : mise en place d'une DMZ IPV6
Posté par: artemus24 le 15 mai 2024 à 17:18:19

Citation de: Tinybo

La box SFR NB6 est réputée pour être buggée concernant la mise en place d'une DMZ en IPV6 derrière un routeur interne (on en trouve quelques traces dans ce forum).

Toutes les box SFR que j'ai eues, sont buggées : NB4, NB6v2, NBVAC NB8. Par contre, pourais-tu détailler le soi-disant bug de la DMZ.

En ce qui me concerne, j'utilise la DMZ de ma BOX pour tester le pare-feu de mes ordinateurs. J'active la DMZ de l'IPv4 de ma BOX SFR en lui donnant une adresse de routage (le libellé de la BOX 8 est : "entrer le nom ou l'adresse du serveur DMZ"). De ce fait, il n'y a aucun filtrage du coté de la BOX SFR alors que si je n'applique pas la DMZ, je subis le filtrage qui est déjà mis en place dans ma BOX SFR. Pour vérifier qu'il n'y a aucun filtrage quand la DMZ est activée, je désactive le pare-feu de mon ordinateur et j'utilise le site "Gibson research corporation (https://www.grc.com/x/ne.dll?bh0bkyd2)". Ainsi je vois tous les ports ouverts depuis mon ordinateur. Après, il n'y a plus qu'à activer le pare-feu, écrire les règles et tester à nouveau ces ports.

Pour la DMZv6, j'ai un sous-réseau (subnet) qui est déjà pré-renseigné, différent de celui déjà mis en place pour mon réseau local. Dans les notations de Tinybo,il s'agit de "PREFIXDMZ". Je dois renseigner le "Gateway Next Hop" où je retrouve le même préfixe, que je vais noter "PREFIXLOCAL". Ce "Gateway Next Hop" attend une adresse de passerelle IPv6 où va se trouver un pare-feu. En ce qui me concerne, je n'ai jamais utilisé la DMZv6.

Je suppose que le bug en question est cette différence de préfixe entre le sous-réseau IPv6 (PREFIXDMZ) et ce "Gateway Next Hop" (PREFIXLOCAL) où je devrais retrouver le même préfixe. Peut-on me confirmer que c'est bien de ce bug dont il est question ici ?

Citation de: kgersen

il y aussi confusion entre firewalling et NAT ... DMZ est un terme de firewall, qui peut ou pas utiliser du NAT (souvent le cas en IPv4)

Je suis d'accord avec toi qu'il y a une confusion entre pare-feu, NAT, PAT, DMZ et autre dans la signification de ces termes chez les différents FAI.

Citation de: kgersen

Et que pour eux "DMZ" a un sens qui n'est pas le bon.

D'après je que j'ai compris de la DMZ coté BOX, (vous me dites si je fais erreur), cela fait deux choses :
--> désactive tout le filtrage mis en place dans la box. Tout se passe comme s'il n'y avait pas de BOX.
--> effectue une redirection du flux entrant vers un ordinateur (ou serveur) où un pare-feu a été mis en place.

Citation de: luron69

La vraie DMZ, ce n'est pas cela mais deux sous-réseaux et deux pares-feux distincts.

Je l'ai toujours compris ainsi. Donc pourquoi parler de vrai ou de faux DMZ ? Cela ne fait qu'embrouiller les lecteurs de ce sujet, comme Basilix.
Après, je ne sais pas trop ce qui a été fait dans les BOX pour sa mise en place. Ne dit-on pas que "Le diable se cache dans les détails".

Citation de: xp25

C'est quoi une DMZ basilix ?

Bonne question. :) Quand on ne sait pas, ne faut-il pas justement donner la définition que l'on croit connaitre, afin d'avoir les vrais explications ?
Ma réponse est celle que j'ai donné à kgersen.

Citation de: kgersen

en pratique 'correct' on met en général une adresse link-local (fe80...) pour la "passerelle" (ce n'est pas le bon terme) pour un subnet IPv6.

Tu ne peux pas mettre une adresse Link-Local car SFR impose un préfixe IPv6 différent de celui utilisé en local.

Citation de: kgersen

il est rare d'utiliser une GUA d'un autre subnet pour router vers un subnet ce n'est pas recommandé.

Je n'ai pas bien compris le sens de ta phrase. Quand la DMZv6 de la BOX SFR est activée, le flux entrant dans la BOX est redirigé vers ce sous-réseau ipv6 distinct du réseau local ipv6 mise en place, dont l'adresse n'est pas un link-local.

Citation de: Basilix

Ces assertions sont tout simplement fausses.

Pas du tout. Et dire cela à un expert réseau comme kgersen.

Citation de: Basilix

J'étais encore persuadé qu'un réseau local segmenté en sous-réseaux était forcément constitué avec plusieurs routeurs.

Un routeur ne sert qu'à faire une seule chose, du routage. Chaque sous-réseau que ce soit de l'IPv4 ou de l'IPv6 appartient au même réseau. Un seul routeur suffit pour gérer ton réseau local. Le flux entrant dans le routeur aura le même préfixe IPv6 ou la même adresse publique IPv4. La distinction des sous-réseaux se fait par le masque de sous-réseau.

Citation de: Basilix

C'est plus facile d'imaginer un sous-réseau protégé par un routeur faisant pare-feu (d’où ma méprise).

Un routeur ne fait pas pare-feu. Tu confonds cela avec une BOX qui fait plein de choses en plus du routage.

Titre: SFR NB6 : mise en place d'une DMZ IPV6
Posté par: basilix le 15 mai 2024 à 20:39:48

C'est comme cela que j'ai appris. Néanmoins, j'avais peut-être tout à fait tort.

Cela me fait bizarre qu'on puisse associer des adresses de différentes portées.

Titre: SFR NB6 : mise en place d'une DMZ IPV6
Posté par: kgersen le 15 mai 2024 à 21:37:27

Le but du sujet est de savoir si la fonctionalité "DMZ pour l'IPv6" ne fonctionne pas correctement parce que buggé/mal faite ou parce que les gens s'en servent mal.

Je n'ai pas de NB6 donc ne peut tester mais de ce que je comprend de cette interface:
(https://lafibre.info/index.php?action=dlattach;topic=57593.0;attach=142711;image)

si SFR ne permet pas de mettre une LLA dans le champ "Adresse IP" de cette interface c'est qu'ils ont fait bizarrement les choses.

Ce qu'ils appellent "DMZ pour l'IPv6" ressemble simplement a "une délégation statique d'un subnet IPv6". La manière "propre" est d'utiliser une LLA comme 'next hop'. C'est ce que font Free par exemple et Orange/Bytel (eux encore mieux puisqu'ils font une délégation dynamique):

(https://i.imgur.com/PfJZhgB.png)

Le subnet délégué (un autre /64) va être utilisé pour LAN 2 uniquement, il ne faut utiliser des IPv6 de ce subnet sur LAN 1.
Coté box opérateur on met la LLA (B) du routeur comme route vers le subnet de LAN 2
Coté routeur on met la LLA (A) de la box comme route vers Internet (route par défaut donc). On n'est même pas obligé manuellement car ca se fait naturellement par annonce de la gateway (mécanisme ICMPv6 RA), comme ca si on change la box on n'a pas besoin de changer la LLA (qui est souvent propre a chaque box).
Coté PC2, il va recevoir la route par défaut aussi ca sera l'autre LLA du routeur celle coté LAN 2 donc (C).

Le routeur n'a même pas besoin de GUA , il peut juste n'avoir que des LLA (en pratique on lui en met au moins une, pour les traceroute par exemple ou pour qu'il émette des ICMPv6 pour le MTU par exemple).

Un paquet qui part de PC 2 aura en source et destination des GUA mais sa route par défaut étant la LLA du routeur, il va envoyer ce paquet au routeur (le mécanisme L3/L2 va utiliser l'adresse MAC du routeur).(faite "route print ::/0" sur Windows par exemple, c'est une LLA , celle du routeur/box).

Titre: SFR NB6 : mise en place d'une DMZ IPV6
Posté par: zoc le 16 mai 2024 à 17:13:08

Citation de: basilix le 15 mai 2024 à 11:14:46

Ces assertions sont tout simplement fausses.

Non.

Déjà, chez ton opérateur (Orange), la route par défaut est une LLA (fd00::ba0:bab). D'ailleurs c'est bien pratique car ça permet d'avoir la même route par défaut sur tout le territoire même si ce ne sont pas les mêmes équipements qui la portent. Ensuite ça permet d'éviter le gaspillage de GUA.

J'ai des VPN site to site en IPv6 uniquement, et les interfaces de terminaison n'ont ni ULA, ni GUA, mais uniquement des LLA. Ca n'empêche ni OSPFv3, ni le routage de paquets, de fonctionner. La seule "problématique" que ça engendre c'est pour les traceroute (un routeur qui n'a que des LLA ne pourra pas renvoyer de TTL exceeded vers le client executant la commande).

Titre: SFR NB6 : mise en place d'une DMZ IPV6
Posté par: basilix le 17 mai 2024 à 06:42:08

@zoc : Il s'agit d'une méprise de ma part.

Néanmoins, je ne suis pas persuadé que vous ayez raison. Il semblerait que la mise en réalisation du concept (https://www.bortzmeyer.org/7404.pdf) à même suscité de la controverse à l'IETF.

Mais je ne vais pas non plus créer une polémique, ma compréhension étant de toute façon très limitée en la matière. Donc, je ne suis pas le bon interlocuteur.
Continuez comme bon vous semble, mais ne comptez pas sur moi pour poursuivre cette échange.

Titre: SFR NB6 : mise en place d'une DMZ IPV6
Posté par: artemus24 le 17 mai 2024 à 18:54:21

Peut-on m'expliquer en quoi mettre un serveur en DMZ permet de protéger son réseau local ?

Titre: SFR NB6 : mise en place d'une DMZ IPV6
Posté par: kgersen le 18 mai 2024 à 18:42:22

Citation de: artemus24 le 17 mai 2024 à 18:54:21

Peut-on m'expliquer en quoi mettre un serveur en DMZ permet de protéger son réseau local ?

brievement: ca revient a le mettre en dehors de son réseau local (on parle d'une vraie DMZ pas les "DMZ" des box).

Titre: SFR NB6 : mise en place d'une DMZ IPV6
Posté par: artemus24 le 18 mai 2024 à 19:30:54

Je suppose que si j'utilise un serveur WEB, je vais appliquer une sécurité différente de celle du reste de mon réseau local. Pour résoudre cela, je vais faire l'usage de la DMZ sur une nouvelle branche, en extériorisant ou devrais-je dire en isolant mon serveur WEB.
Les règles du routeur contineront d'être appliquées au réseau local. Les seuls flux pouvant entrer dans mon réseau local, sont ceux ayant aupréalable un flux sortant. Tous les flux entrants non sollicités dans mon réseau local seront interdits.
En appliquant la DMZ, je court-circuite les règles de mon routeur. J'ai besoin d'avoir un pare-feu dans mon serveur pour le sécuriser.

En fait, c'est comme si j'avais deux entrées gérés par le même routeur, avec chacun leur propre règles de sécurités.
Comment dois-je faire si j'ai besoin d'une autre DMZ afin d'isoler autre chose de mon réseau local et de ce serveur WEB ?

Titre: SFR NB6 : mise en place d'une DMZ IPV6
Posté par: LAB3W.ORJ le 18 août 2024 à 15:13:14

Citation de: luron69 le 12 mai 2024 à 18:43:19

Une DMZ n'a pas lieu d'être en IPv6 puisque les serveurs du LAN ont une adresse routable sur Internet. Le problème se situe au niveau du pare-feu et pas au niveau de la translation d'adresse. Il n'y a pas de NAT en IPv6 donc pas besoin de DMZ. En revanche, il faut ouvrir des ports ou des adresses IP pour les connexions entrantes dans les règles du pare-feu.

En lisant cela, il faut que je vous contredise, c'est très important.

Sur un réseau IP, donc IPv4 et IPv6 on peut TOUJOURS attribuer une DMZ (Zone sans militaire - Zone Démilitarisée), zone sans routeur/firewall de l'ISP (le FAI).

Cela permet :
- D'avoir une machine avec une adresse locale IPv4 qui prendra tous dans la tronche (par rapport à l'adresse IPv4 internet public globale (si, sur cette machine on a pas configuré de pare-feu - Toutes les requêtes et cela sur n'importe quel ports UDP et TCP de 0 à 65535 seront reçus sur cette machine.
- D'avoir une machine sur laquelle on peut configurer un bloc IPv6::/64 différent du bloc IPv6::/64 du réseau local ; pour y configurer peut-être au maximum un total IPv6 global unicast public addresses de 1,152,921,504,606,846,976 (CF: http://www.gestioip.net/cgi-bin/subnet_calculator.cgi ) qui sont dans la DMZ et donc directement accessible en entrée (en sortie çà va de soit).

Sur le local IPv6 même si on a des IPv6 global unicast public, on ne peut pas entrer dans la machine, ni la "ping/ponguée", par contre on est visible avec une adresse Unicast globale IPv6.

Pour le IPv6 NAT ok, on a pas besoin ; par contre on peut en faire, si au pire on a qu'1 seule et unique IPv6_UNICAST_GLOBAL::/128 on peut NAter vers des addresses IPv6 ULA (Unique Local Address (fc00::/7).

Exemple -> ici j'ai NATé mon service DNS vers un Linux Container.
En d'autres terme ; je déclare que le service TCP et UDP du port 53 de l'adresse IPv6 Unicast global public "2001:41d0:701:1100::6530" se trouve (est à destination "DNAT") dans la machine de mon réseau ULA (Unique Local Address) "fc00:41d0:701:1100::1") --- Les VPS loués chez OVH et d'autres, ne nous fournisse qu'1 seule IPv6.

root@vps-de:~ # ip6tables -L -vn -t nat
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
29162 2165K DNAT       tcp      *      *       ::/0                 2001:41d0:701:1100::6530  tcp dpt:53 to:[fc00:41d0:701:1100::1]:53
2758K  253M DNAT       udp      *      *       ::/0                 2001:41d0:701:1100::6530  udp dpt:53 to:[fc00:41d0:701:1100::1]:53

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
4186K  454M MASQUERADE  all      *      vmbr0   fc00:41d0:701:1100::1  ::/0

Bon dimanche.

----

Pour résoudre cela, je vais faire l'usage de la DMZ sur une nouvelle branche, en extériorisant ou devrais-je dire en isolant mon serveur WEB.
Les règles du routeur contineront d'être appliquées au réseau local. Les seuls flux pouvant entrer dans mon réseau local, sont ceux ayant aupréalable un flux sortant.

Dès que LA DMZ est ouverte/créée (une machine) ; tout les flux entrant arrivent dans cette machine DMZ.

en extériorisant ou devrais-je dire en isolant..

On dit en créant une zone sans militaire, une zone libre, sans autorité ; mise à part TOI (ton pare-feu) ;) Surtout ne pas dire isoler ; Les VLANs sont isolés par exemple, les uns des autres ; les BRIDGES réseaux permettent l’inverse ; de commuter 2 réseaux (ou plus) en un seul (donc l'inverse des VLANs).

Pour ajouter, quand tu ajoutes une machine DMZ qui, me semble t'il, a une adresse IPv4 local du même bloc que tes autres machines "protégées (non visible de l'internet)" ; il ne faut pas oublier QUE, si un hacker arrive à rentrer dans cette machine DMZ, il pourra très facilement attraper tes autres machines locale. Normalement, c'est le rôle de la boxe du FAI (ISP), sa fonctionnalité par default - Empêcher les gens de rentrer chez toi ;)

Tous les flux entrants non, sollicités dans mon réseau local seront interdits.

Non, ils arrivent dans la machine DMZ.

En appliquant la DMZ, je court-circuite les règles de mon routeur. J'ai besoin d'avoir un pare-feu dans mon serveur pour le sécuriser.

Oui firewall obligatoire.

En fait, c'est comme si j'avais deux entrées gérés par le même routeur, avec chacun leur propre règles de sécurités.

Tout les flux entrant arrivent dans ta machine DMZ - par contre ils traversent la boxe de ton FAI (ISP) ET donc, si par exemple tu souhaites rediriger un port bien précis, ou plusieurs vers une machine (ou d'autres ports vers d'autres machines) de ton réseau local ; tu le peut, tu fixes une règle sur ta boxe internet.

Citation de: LAB3W.ORJ le 18 août 2024 à 15:13:14

Comment dois-je faire si j'ai besoin d'une autre DMZ afin d'isoler autre chose de mon réseau local et de ce serveur WEB ?

Tu ne peut pas - tu peut avoir qu'1 DMZ puisqu'elle sert à rédirigé tout le traffic entrant de ton IPv4 publique vers une de tes machines.

Par contre tu peut déclarer un ou plusieurs ports bien spécifique vers "une" machine de ton réseau local.

Note de Moi-même : je vous ajoute cette documentation que je vous ai concocté : GNU/Linux :-: Comment-faire un réseau IPv6 ? Firewall ICMPv6 (https://howto.zw3b.fr/linux/securite/comment-faire-un-reseau-ipv6-firewall-icmpv6) ; çà fait toujours plaisir de partager ma page ;D

Et celle-ci avec un firewall Linux IPv4 (mode poste et mode routeur) : GNU/Linux :-: Configurer un poste Linux pour naviguer sur InterNet (https://howto.zw3b.fr/linux/reseaux/configurer-un-poste-linux-pour-naviguer-sur-internet)

Bien cordialement,
Romain.

Titre: SFR NB6 : mise en place d'une DMZ IPV6
Posté par: kgersen le 18 août 2024 à 21:13:56

En lisant cela, il faut que je vous contredise, c'est très important.

Sur un réseau IP, donc IPv4 et IPv6 on peut TOUJOURS attribuer une DMZ (Zone sans militaire - Zone Démilitarisée), zone sans routeur/firewall de l'ISP (le FAI).

...

attention a ne pas pourrir un sujet avec autant d'informations d'un coup surtout si ce sont des avis/pratiques très personnels éloignées des pratiques reconnues par les pro du domaine...

personne n'emploie le terme "zone sans militaire", en français on dit "zone démilitarisée".

DMZ dans le contexte de box internet et de routeur SOHO n'a pas le même sens qu'en entreprise ou dans les cours théoriques de firewall. C'est juste du "port forwarding" par défaut ca donc pas de sens en IPv6 (ca n'empêche pas faire une DMZ dans le sens pro du terme mais c'est souvent overkill en réseau domestique).

On ne recommande pas ici, de faire du NAT en IPv6 encore moins avec un /128 et encore moins vers une ULA (qui est moins prio qu'une IPv4).

"Les VPS loués chez OVH et d'autres, ne nous fournisse qu'1 seule IPv6" -> la meilleur recommandation est de changer de prestataire de VPS. On est en 2024. Si on veut qu'IPv6 réussisse on n'encourage pas les mauvais élèves , on les vire. Il ne faut transiger et bidouiller ca ne sert pas la cause.

Titre: SFR NB6 : mise en place d'une DMZ IPV6
Posté par: luron69 le 19 août 2024 à 06:24:31

Citation de: LAB3W.ORJ le 18 août 2024 à 15:13:14

En lisant cela, il faut que je vous contredise, c'est très important.

Sur un réseau IP, donc IPv4 et IPv6 on peut TOUJOURS attribuer une DMZ (Zone sans militaire - Zone Démilitarisée), zone sans routeur/firewall de l'ISP (le FAI).

J'ai fait une erreur de terminologie que j'ai corrigée peu après (voir message #4). En fait, je voulais parler d'un « hôte DMZ », c'est-à-dire une machine qui est dans le même LAN et, dans la plupart des cas, dans le même VLAN. C'est ce que propose la plupart des routeurs SOHO ou des boxes de FAI en IPv4. Cela n'a rien à voir avec une véritable zone démilitarisée puisque, comme le rappelle kgersen, si un attaquant réussit à pénétrer dans l'hôte DMZ, il peut atteindre les autres machines. Et, pour moi, créer un simple hôte DMZ n'a aucun sens en IPv6.

Comme je n'ai jamais utilisé mes boxes SFR, je ne sais pas à quoi correspond l'option DMZ IPv6 dans ces boxes. Et puis, c'est complètement incohérent de proposer cela. M. ou Mme Toutlemonde ne va pas utiliser un serveur accessible de l'extérieur et l'utilisateur avancé va utiliser ses propres routeurs s'il veut créer une DMZ en IPv6.

Titre: SFR NB6 : mise en place d'une DMZ IPV6
Posté par: LAB3W.ORJ le 19 août 2024 à 13:43:48

attention a ne pas pourrir un sujet avec autant d'informations d'un coup surtout si ce sont des avis/pratiques très personnels éloignées des pratiques reconnues par les pro du domaine...

Je ne pourri pas le sujet, je vous dis cela en tant que pro du domaine. Je suis développeur Web (dirais-je, mon 1er site web de communication © 2003 LAB3W (http://web.archive.org/web/20040111061954/http://wwweball.com/) et mon premier "blog" (http://web.archive.org/web/20080121070638/http://kssius.free.fr/dev-/kss/), y'a 21 ans), mais à partir de l'an 2001 j'avais une association (à 2puis 5 personnes) "Bandapart (dot) net") qui était le premier hébergeur gratuit. Je vous envoie le lien web archive du site web tellement c'est vieux et bon de voir çà (moi c'est kssius :) (http://web.archive.org/web/20010220210234/http://weefa.com/). Tout le monde était en RTC et le serveur était sur une ligne ADSL chez NERIM, C'était bon.

Désolé oui, information hors sujet 8)

personne n'emploie le terme "zone sans militaire", en français on dit "zone démilitarisée".

Je le sais bien c'est bien ce que j'ai écris, c'atait pour la compréhension.

DMZ dans le contexte de box internet et de routeur SOHO n'a pas le même sens qu'en entreprise ou dans les cours théoriques de firewall. C'est juste du "port forwarding" par défaut ....

Il faut changer de professeur alors.

....donc pas de sens en IPv6 (ca n'empêche pas faire une DMZ dans le sens pro du terme mais c'est souvent overkill en réseau domestique).

On ne recommande pas ici, de faire du NAT en IPv6 encore moins avec un /128 et encore moins vers une ULA (qui est moins prio qu'une IPv4).

Je ne recommande rien, je dis simplement que si tu as qu'1 seule IPv6 GUA (donc IPv6::/128) tu peut t'arranger en envoyant tes différents services, ports vers des machines ULA (fc00::/7) - C comme faire du NAT de l'IPv4 GUA vers des addres IPv4 privé 192.168.0.0/16 ou 10.0.0.0/8 ou 172.16-32.0.0/16.

"Les VPS loués chez OVH et d'autres, ne nous fournisse qu'1 seule IPv6" -> la meilleur recommandation est de changer de prestataire de VPS. On est en 2024. Si on veut qu'IPv6 réussisse on n'encourage pas les mauvais élèves , on les vire. Il ne faut transiger et bidouiller ca ne sert pas la cause.

Ou bien ^^ Ce n'est pas être mauvais élève çà.

----

J'ai fait une erreur de terminologie que j'ai corrigée peu après (voir message #4). En fait, je voulais parler d'un « hôte DMZ », c'est-à-dire une machine qui est dans le même LAN et, dans la plupart des cas, dans le même VLAN. C'est ce que propose la plupart des routeurs SOHO ou des boxes de FAI en IPv4.

Cela n'a rien à voir avec une véritable zone démilitarisée puisque, comme le rappelle kgersen, si un attaquant réussit à pénétrer dans l'hôte DMZ, il peut atteindre les autres machines. Et, pour moi, créer un simple hôte DMZ n'a aucun sens en IPv6.

C moi qui dit çà :D

Comme je n'ai jamais utilisé mes boxes SFR, je ne sais pas à quoi correspond l'option DMZ IPv6 dans ces boxes.

- D'avoir une machine DMZ çà permet que l'on puise configurer un bloc IPv6::/64 différent du bloc IPv6::/64 du réseau local ;
-- pour y configurer peut-être au maximum un total IPv6 global unicast public addresses de 1,152,921,504,606,846,976 (CF: http://www.gestioip.net/cgi-bin/subnet_calculator.cgi ) qui sont dans la DMZ et donc directement accessible en entrée (en sortie çà va de soit).

Citation de: LAB3W.ORJ le 19 août 2024 à 13:43:48

Et puis, c'est complètement incohérent de proposer cela. M. ou Mme Toutlemonde ne va pas utiliser un serveur accessible de l'extérieur et l'utilisateur avancé va utiliser ses propres routeurs s'il veut créer une DMZ en IPv6.

Nous ne sommes pas, tous, M. ou Mme Toutlemonde, qui avons un abonnement à la maison chez un FAI (ISP), y'a des mecs et des nanas comme vous et moi :D

Bonne journée.

Titre: SFR NB6 : mise en place d'une DMZ IPV6
Posté par: kgersen le 19 août 2024 à 14:21:18

Je ne recommande rien, je dis simplement que si tu as qu'1 seule IPv6 GUA (donc IPv6::/128) tu peut t'arranger en envoyant tes différents services, ports vers des machines ULA (fc00::/7) - C comme faire du NAT de l'IPv4 GUA vers des addres IPv4 privé 192.168.0.0/16 ou 10.0.0.0/8 ou 172.16-32.0.0/16.

mais c'est une recommandation et ce n'est pas à faire même si c'est techniquement possible.

C'est ce genre de pratique a la con qui ruine IPv6 et qui nuit a sa cause.

Ce n'est pas parce qu'OVH fait de la merde en proposant un /128 qu'il faut s'en arranger comme cela parce que cela ne les incitera jamais a corriger leur /128 et respecter la norme.

La bonne recommandation est de ne pas proposer ce genre de solution mais de dire aux gens de changer de fournisseur de VPS.

Au pire ne pas utiliser pas IPv6 plutot que de l’utiliser comme cela ou alors prendre un tunnel IPv6 gratuit chez HE par exemple (https://tunnelbroker.net/)

Titre: SFR NB6 : mise en place d'une DMZ IPV6
Posté par: LAB3W.ORJ le 19 août 2024 à 14:39:47

Citation de: kgersen le 19 août 2024 à 14:21:18

mais c'est une recommandation et ce n'est pas à faire même si c'est techniquement possible.

C'est ce genre de pratique a la con qui ruine IPv6 et qui nuit a sa cause.

Ce n'est pas parce qu'OVH fait de la merde en proposant un /128 qu'il faut s'en arranger comme cela parce que cela ne les incitera jamais a corriger leur /128 et respecter la norme.

La bonne recommandation est de ne pas proposer ce genre de solution mais de dire aux gens de changer de fournisseur de VPS.

Au pire ne pas utiliser pas IPv6 plutot que de l’utiliser comme cela ou alors prendre un tunnel IPv6 gratuit chez HE par exemple (https://tunnelbroker.net/)

Sinon y'a bien un bloc IPv6::/64 pour les dédié chez OVH. Et OVH est un des meilleur prestataires IPv6 (question route, sécurité, délégation de zone DNS IPv6 (possibilité de pouvoir paramétrer toutes le REVERSE des adresses IPv6 de notre bloc IPv6::/64 dans notre serveur (service BIND/DNS)).

Exemple :

orj@nomade:~ $ host zw3b.eu
zw3b.eu has address 158.69.126.137
zw3b.eu has IPv6 address 2607:5300:60:9389::1
zw3b.eu mail is handled by 10 smtp.zw3b.eu.

orj@nomade:~ $ host 2607:5300:60:9389::1
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer wan.ipv10.net.

orj@nomade:~ $ host ww1.zw3b.eu
ww1.zw3b.eu has IPv6 address 2607:5300:60:9389:15:1:a:10

orj@nomade:~ $ host 2607:5300:60:9389:15:1:a:10
0.1.0.0.a.0.0.0.1.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer ww1.zw3b.fr.
0.1.0.0.a.0.0.0.1.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer ww1.zw3b.tv.
0.1.0.0.a.0.0.0.1.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer ww1.zw3b.eu.
0.1.0.0.a.0.0.0.1.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer ww1.zw3b.com.
0.1.0.0.a.0.0.0.1.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer ww1.zw3b.blog.
0.1.0.0.a.0.0.0.1.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer ww1.zw3b.net.

orj@nomade:~ $ host ww2.zw3b.eu
ww2.zw3b.eu has IPv6 address 2607:5300:60:9389:15:2:a:10

orj@nomade:~ $ host 2607:5300:60:9389:15:2:a:10
0.1.0.0.a.0.0.0.2.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer ww2.zw3b.eu.
0.1.0.0.a.0.0.0.2.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer ww2.zw3b.com.
0.1.0.0.a.0.0.0.2.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer ww2.zw3b.net.
0.1.0.0.a.0.0.0.2.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer ww2.zw3b.blog.
0.1.0.0.a.0.0.0.2.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer ww2.zw3b.tv.
0.1.0.0.a.0.0.0.2.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer ww2.zw3b.fr.

orj@nomade:~ $ host smtp.zw3b.eu
smtp.zw3b.eu has address 158.69.126.137
smtp.zw3b.eu has IPv6 address 2607:5300:60:9389:17:4c1:0:1a

orj@nomade:~ $ host 2607:5300:60:9389:17:4c1:0:1a
a.1.0.0.0.0.0.0.1.c.4.0.7.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer mail.zw3b.eu.

orj@nomade:~ $ host ns1.ipv10.net
ns1.ipv10.net has address 158.69.126.137
ns1.ipv10.net has IPv6 address 2607:5300:60:9389:15:1:a:1000

orj@nomade:~ $ host 2607:5300:60:9389:15:1:a:1000
0.0.0.1.a.0.0.0.1.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer ns1.ipv10.net.
0.0.0.1.a.0.0.0.1.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer ns1.ipv01.net.

orj@nomade:~ $ host ns2.ipv10.net
ns2.ipv10.net has address 158.69.126.137
ns2.ipv10.net has IPv6 address 2607:5300:60:9389:15:2:a:1000

orj@nomade:~ $ host 2607:5300:60:9389:15:2:a:1000
0.0.0.1.a.0.0.0.2.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer ns2.ipv10.net.
0.0.0.1.a.0.0.0.2.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa domain name pointer ns2.ipv01.net.

et cetera..

Le fichier zone reverse DNS des IPv6 du bloc IPv6::/64 -- 2607:5300:60:9389::/64 -- ressemble à çà (OVH m'a délégué la gestion de mon bloc IPv6) :

root@lv1.dns:~ # cat /etc/bind/masters/3.9.0.6.0.0.0.0.3.5.7.0.6.2.ovh.arpa
$ttl 60
@   IN      SOA     ns1.ipv10.net. hostmaster.lab3w.fr. (
                        2024081601      ; serial, yearmonthdayserial# 604800
                        21600              ; refresh, seconds / default:21600
                        3600               ; retry, seconds / default:3600
                        604800             ; expire, seconds / default:604800
                        3600 )            ; minimum, seconds / default:3600
;--------------------------------------------------------------
@               IN      NS              ns1.ipv10.net.
@               IN      NS              ns2.ipv10.net.
;--------------------------------------------------------------

0.1.0.0.a.0.0.0.1.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa.       IN PTR  ww1.zw3b.fr.
0.1.0.0.a.0.0.0.1.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa.       IN PTR  ww1.zw3b.tv.
0.1.0.0.a.0.0.0.1.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa.       IN PTR  ww1.zw3b.net.
0.1.0.0.a.0.0.0.1.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa.       IN PTR  ww1.zw3b.blog.
0.1.0.0.a.0.0.0.1.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa.       IN PTR  ww1.zw3b.eu.
0.1.0.0.a.0.0.0.1.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa.       IN PTR  ww1.zw3b.com.

0.1.0.0.a.0.0.0.2.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa.       IN PTR ww2.zw3b.fr.
0.1.0.0.a.0.0.0.2.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa.       IN PTR ww2.zw3b.tv.
0.1.0.0.a.0.0.0.2.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa.       IN PTR ww2.zw3b.net.
0.1.0.0.a.0.0.0.2.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa.       IN PTR ww2.zw3b.blog.
0.1.0.0.a.0.0.0.2.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa.       IN PTR ww2.zw3b.eu.
0.1.0.0.a.0.0.0.2.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa.       IN PTR ww2.zw3b.com.

0.0.0.1.a.0.0.0.1.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa.       IN PTR  ns1.ipv10.net.
0.0.0.1.a.0.0.0.1.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa.       IN PTR  ns1.ipv01.net.

0.0.0.1.a.0.0.0.2.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa.       IN PTR  ns2.ipv10.net.
0.0.0.1.a.0.0.0.2.0.0.0.5.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa.       IN PTR  ns2.ipv01.net.

a.1.0.0.0.0.0.0.1.c.4.0.7.1.0.0.9.8.3.9.0.6.0.0.0.0.3.5.7.0.6.2.ip6.arpa.       IN      PTR mail.zw3b.eu.

:)

En déléguant un bloc IP, le FAI (ISP) me donne la gestion des noms et adresses IP. C'est à dire que je suis directement lié au TLD des domaines en plus (on ne voit pas le FAI/ISP).

Exemple :

* root serveur DNS d'internet "."
* extensions de domaine "eu."
* sans délégation ICI il y aurait OVH ! Avec la délégation par OVH ce sont mes serveurs DNS authoritaire "ns1.ipv10.net." && "ns2.ipv10.net."
* et moi "zw3b.eu."