• [^] # Re: NAT66 ou masquarade66

    Posté par . En réponse à la dépêche Protéger sa vie privée avec l’IPv6. Évalué à 10.

    Parce que le NAT, tout simplement.
    Le NAT t’oblige à garder un état de chaque connexion, ce qui n’est pas du tout gratuit en ressources.
    Aussi, le NAT suppose de faire un bout de L4 (pour avoir la correspondance des ports UDP et TCP vers telle ou telle machine), alors qu’un routeur ne devrait faire que du L3 (tel bloc d’IP, je le route là, ma route par défaut est là).
    De plus, Internet a été conçu en ayant en tête le fait que chaque machine a une IP publique. Avoir des IPs RFC1918 pour aller sur Internet est juste du bricolage pour retarder le passage à l’IPv6 et ça a cassé quelques protocoles au passage. On peut par exemple penser au FTP qui n’est pas du tout trivial à faire marcher avec du NAT ; c’est encore pire dans le cas du FTPS. Si le protocole ne se base pas sur UDP ou TCP, c’est pareil, etc.
    Enfin, avoir un NAT66 n’apportera rien par rapport à des adresses temporaires puisqu’elles changerons régulièrement et qu’il sera impossible de tracer quelqu’un avec pour seule information son IP.

    Il faut également garder à l’esprit que la plage d’IPv6 est tellement grande qu’il est difficile de tout scanner. Dans un /64 (ce que donne en général un FAI), tu as 72057594037927936 réseaux de 256 IP. Donc rien que pour ton réseau local, tu vas mettre 72057594037927936 fois plus de temps qu’en IPv4.