Mais comment fait l'équipement pour faire des mise à jour (en se connectant sur Internet) si il a une adresse Link-Local ?
L'idée est de filtrer uniquement le flux IPv6 entrant non sollicité (le premier paquet [syn] en TCP provient d'internet) tout en permettant à l'équipement de pouvoir échanger avec des serveurs sur Internet (le premier paquet [syn] en TCP provient du réseau local).
Exemple : Chez moi j'ai un thermostat connecté Netatmo pour contrôler ma chaudière gaz. Il n'a pas besoin d'avoir de flux entrant non sollicité, mais il a besoin de se connecter très régulièrement sur un serveur pour mettre à jour les informations sur la température et prendre des ordres de changements de température cible.
Il y a une contradiction, mais je comprends
Je comprends parfaitement, que on n'ai pas envie que une requête extérieure, vienne piloter ton "objet connecté".
Et donc ton équipement a une adresse publique, ou un linklocal ? Il a un bind sur un service local, ou fait appel à un bind sur un serveur ?
Je comprends le postulat, le grand public, ne saura pas se protéger seul, parce qu'il n'y connait rien.
Un Smart-phone, cela se passe comment ?
En IPv4 pas besoin de firewall : le NAT fait le travail : si un flux entrant non sollicité arrive il est jeté, car le NAT ne sais pas à quel PC le transférer (sauf quand il y a une règle rajoutée).
En IPv6 on a un seul équipement derrière une IPv6, contrairement à l'IPv4 qui est partagée par un foyer via le NAT de la box. Il faut donc, pour avoir une protection de base similaire au NAT en IPv4, avoir un firewall qui bloque les flux IPv6 entrants non sollicités.
Cela implique que ce sera toujours nécessaire au niveau du Device, et pas globalement au Niveau de la Box.