Bonjour à tous,
Je suis en train de basculer mon infra à la maison en full ipv6 (merci à MilkyWAN pour le tunnel GRE parce que je ne suis pas près d'avoir de l'ipv6 avec mon OI/FAI
Bon, en même temps, on ne m'a pas forcé une migration à CGNAT non plus!)
Je me demande quelle est la meilleure pratique pour ouvrir un port vers un équipement donné. Comme chaque équipement a une ou plusieurs GUA, on facilement le faire au niveau de la table 'FORWARD' en faisant un filtre les bon protocole + ports + interfaces.
Ca marche bien sauf que, en filtrant par interface, quand on ouvre un port, on l'ouvre donc pour tous les clients dans cette interface ce qui n'est pas l'idéal d'un point de vue sécuritaire.
Je pourrais aussi configurer l'IP manuellement mais avec les préfixes qui peuvent changer, la maintenance devient plus compliquée.
Est-ce qu'il y a un consensus sur la meilleure façon d'exposer des services ipv6 sur le WAN ? Un filtrage par DST MAC, peut-être?
merci!