Le but du sujet est de savoir si la fonctionalité "DMZ pour l'IPv6" ne fonctionne pas correctement parce que buggé/mal faite ou parce que les gens s'en servent mal.

Je n'ai pas de NB6 donc ne peut tester mais de ce que je comprend de cette interface:


si SFR ne permet pas de mettre une LLA dans le champ "Adresse IP" de cette interface c'est qu'ils ont fait bizarrement les choses.

Ce qu'ils appellent "DMZ pour l'IPv6" ressemble simplement a "une délégation statique d'un subnet IPv6". La manière "propre" est d'utiliser une LLA comme 'next hop'. C'est ce que font Free par exemple et Orange/Bytel (eux encore mieux puisqu'ils font une délégation dynamique):



Le subnet délégué (un autre /64) va être utilisé pour LAN 2 uniquement, il ne faut utiliser des IPv6 de ce subnet sur LAN 1.
Coté box opérateur on met la LLA (B) du routeur comme route vers le subnet de LAN 2
Coté routeur on met la LLA (A) de la box  comme route vers Internet (route par défaut donc). On n'est même pas obligé manuellement car ca se fait naturellement par annonce de la gateway (mécanisme ICMPv6 RA), comme ca si on change la box on n'a pas besoin de changer la LLA (qui est souvent propre a chaque box).
Coté PC2, il va recevoir la route par défaut aussi ca sera l'autre LLA du routeur celle coté LAN 2 donc (C).

Le routeur n'a même pas besoin de GUA , il peut juste n'avoir que des LLA (en pratique on lui en met au moins une, pour les traceroute par exemple ou pour qu'il émette des ICMPv6 pour le MTU par exemple).

Un paquet qui part de PC 2 aura en source et destination des GUA mais sa route par défaut étant la LLA du routeur, il va envoyer ce paquet au routeur (le mécanisme L3/L2 va utiliser l'adresse MAC du routeur).(faite "route print ::/0" sur Windows par exemple, c'est une LLA , celle du routeur/box).

@zoc : Il s'agit d'une méprise de ma part.

Néanmoins, je ne suis pas persuadé que vous ayez raison. Il semblerait que la mise en réalisation du concept à même suscité de la controverse à l'IETF.

Mais je ne vais pas non plus créer une polémique, ma compréhension étant de toute façon très limitée en la matière. Donc, je ne suis pas le bon interlocuteur.
Continuez comme bon vous semble, mais ne comptez pas sur moi pour poursuivre cette échange.

Peut-on m'expliquer en quoi mettre un serveur en DMZ permet de protéger son réseau local ?

brievement: ca revient a le mettre en dehors de son réseau local (on parle d'une vraie DMZ pas les "DMZ" des box).

Une DMZ n'a pas lieu d'être en IPv6 puisque les serveurs du LAN ont une adresse routable sur Internet. Le problème se situe au niveau du pare-feu et pas au niveau de la translation d'adresse. Il n'y a pas de NAT en IPv6 donc pas besoin de DMZ. En revanche, il faut ouvrir des ports ou des adresses IP pour les connexions entrantes dans les règles du pare-feu.

En lisant cela, il faut que je vous contredise, c'est très important.

Sur un réseau IP, donc IPv4 et IPv6 on peut TOUJOURS attribuer une DMZ (Zone sans militaire - Zone Démilitarisée), zone sans routeur/firewall de l'ISP (le FAI).

Cela permet :
- D'avoir une machine avec une adresse locale IPv4 qui prendra tous dans la tronche (par rapport à l'adresse IPv4 internet public globale (si, sur cette machine on a pas configuré de pare-feu - Toutes les requêtes et cela sur n'importe quel ports UDP et TCP de 0 à 65535 seront reçus sur cette machine.
- D'avoir une machine sur laquelle on peut configurer un bloc IPv6::/64 différent du bloc IPv6::/64 du réseau local ; pour y configurer peut-être au maximum un total IPv6 global unicast public addresses   de 1,152,921,504,606,846,976 (CF: http://www.gestioip.net/cgi-bin/subnet_calculator.cgi ) qui sont dans la DMZ et donc directement accessible en entrée (en sortie çà va de soit).

Sur le local IPv6 même si on a des IPv6 global unicast public, on ne peut pas entrer dans la machine, ni la "ping/ponguée", par contre on est visible avec une adresse Unicast globale IPv6.

Pour le IPv6 NAT ok, on a pas besoin ; par contre on peut en faire, si au pire on a qu'1 seule et unique IPv6_UNICAST_GLOBAL::/128 on peut NAter vers des addresses IPv6 ULA (Unique Local Address (fc00::/7).

Exemple -> ici j'ai NATé mon service DNS vers un Linux Container.
En d'autres terme ; je déclare que le service TCP et UDP du port 53 de l'adresse IPv6 Unicast global public "2001:41d0:701:1100::6530" se trouve (est à destination "DNAT") dans la machine de mon réseau ULA (Unique Local Address) "fc00:41d0:701:1100::1") --- Les VPS loués chez OVH et d'autres, ne nous fournisse qu'1 seule IPv6.

root@vps-de:~ # ip6tables -L -vn -t nat
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
29162 2165K DNAT       tcp      *      *       ::/0                 2001:41d0:701:1100::6530  tcp dpt:53 to:[fc00:41d0:701:1100::1]:53
2758K  253M DNAT       udp      *      *       ::/0                 2001:41d0:701:1100::6530  udp dpt:53 to:[fc00:41d0:701:1100::1]:53

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
4186K  454M MASQUERADE  all      *      vmbr0   fc00:41d0:701:1100::1  ::/0   
Bon dimanche.

----

Pour résoudre cela, je vais faire l'usage de la DMZ sur une nouvelle branche, en extériorisant ou devrais-je dire en isolant mon serveur WEB.
Les règles du routeur contineront d'être appliquées au réseau local. Les seuls flux pouvant entrer dans mon réseau local, sont ceux ayant aupréalable un flux sortant.

Dès que LA DMZ est ouverte/créée (une machine) ; tout les flux entrant arrivent dans cette machine DMZ.

en extériorisant ou devrais-je dire en isolant..

On dit en créant une zone sans militaire, une zone libre, sans autorité ; mise à part TOI (ton pare-feu) Surtout ne pas dire isoler ; Les VLANs sont isolés par exemple, les uns des autres ; les BRIDGES réseaux permettent l’inverse ; de commuter 2 réseaux (ou plus) en un seul (donc l'inverse des VLANs).

Pour ajouter, quand tu ajoutes une machine DMZ qui, me semble t'il, a une adresse IPv4 local du même bloc que tes autres machines "protégées (non visible de l'internet)" ; il ne faut pas oublier QUE, si un hacker arrive à rentrer dans cette machine DMZ, il pourra très facilement attraper tes autres machines locale. Normalement, c'est le rôle de la boxe du FAI (ISP), sa fonctionnalité par default - Empêcher les gens de rentrer chez toi

Tous les flux entrants non, sollicités dans mon réseau local seront interdits.

Non, ils arrivent dans la machine DMZ.

En appliquant la DMZ, je court-circuite les règles de mon routeur. J'ai besoin d'avoir un pare-feu dans mon serveur pour le sécuriser.

Oui firewall obligatoire.

En fait, c'est comme si j'avais deux entrées gérés par le même routeur, avec chacun leur propre règles de sécurités.

Tout les flux entrant arrivent dans ta machine DMZ - par contre ils traversent la boxe de ton FAI (ISP) ET donc, si par exemple tu souhaites rediriger un port bien précis, ou plusieurs vers une machine (ou d'autres ports vers d'autres machines) de ton réseau local ; tu le peut, tu fixes une règle sur ta boxe internet.

Comment dois-je faire si j'ai besoin d'une autre DMZ afin d'isoler autre chose de mon réseau local et de ce serveur WEB ?

Tu ne peut pas - tu peut avoir qu'1 DMZ puisqu'elle sert à rédirigé tout le traffic entrant de ton IPv4 publique vers une de tes machines.

Par contre tu peut déclarer un ou plusieurs ports bien spécifique vers "une" machine de ton réseau local.

Note de Moi-même : je vous ajoute cette documentation que je vous ai concocté : GNU/Linux :-: Comment-faire un réseau IPv6 ? Firewall ICMPv6 ; çà fait toujours plaisir de partager ma page 

Et celle-ci avec un firewall Linux IPv4 (mode poste et mode routeur) : GNU/Linux :-: Configurer un poste Linux pour naviguer sur InterNet

Bien cordialement,
Romain.

En lisant cela, il faut que je vous contredise, c'est très important.

Sur un réseau IP, donc IPv4 et IPv6 on peut TOUJOURS attribuer une DMZ (Zone sans militaire - Zone Démilitarisée), zone sans routeur/firewall de l'ISP (le FAI).

J'ai fait une erreur de terminologie que j'ai corrigée peu après (voir message #4). En fait, je voulais parler d'un « hôte DMZ », c'est-à-dire une machine qui est dans le même LAN et, dans la plupart des cas, dans le même VLAN. C'est ce que propose la plupart des routeurs SOHO ou des boxes de FAI en IPv4. Cela n'a rien à voir avec une véritable zone démilitarisée puisque, comme le rappelle kgersen, si un attaquant réussit à pénétrer dans l'hôte DMZ, il peut atteindre les autres machines. Et, pour moi, créer un simple hôte DMZ n'a aucun sens en IPv6.

Comme je n'ai jamais utilisé mes boxes SFR, je ne sais pas à quoi correspond l'option DMZ IPv6 dans ces boxes. Et puis, c'est complètement incohérent de proposer cela. M. ou Mme Toutlemonde ne va pas utiliser un serveur accessible de l'extérieur et l'utilisateur avancé va utiliser ses propres routeurs s'il veut créer une DMZ en IPv6.

Je ne recommande rien, je dis simplement que si tu as qu'1 seule IPv6 GUA (donc IPv6::/128) tu peut t'arranger en envoyant tes différents services, ports vers des machines ULA (fc00::/7) - C comme faire du NAT de l'IPv4 GUA vers des addres IPv4 privé 192.168.0.0/16 ou 10.0.0.0/8 ou 172.16-32.0.0/16.

mais c'est une recommandation et ce n'est pas a faire même si c'est techniquement possible.

C'est ce genre de pratique a la con qui ruine IPv6 et qui nuit a sa cause.

Ce n'est pas parce qu'OVH fait de la merde en proposant un /128 qu'il faut s'en arranger comme cela parce que cela ne les incitera jamais a corriger leur /128 et respecter la norme.

La bonne recommandation est de ne pas proposer ce genre de solution mais de dire aux gens de changer de fournisseur de VPS.

Au pire ne pas utiliser pas IPv6 plutot que de l’utiliser comme cela ou alors prendre un tunnel IPv6 gratuit chez HE par exemple (https://tunnelbroker.net/)