Posté par ymorin .
En réponse au message ipv6 lan et box.
Évalué à 4.
Dernière modification le 11 mars 2012 à 10:33.
un modem ethernet ou box est une passerelle qui a une un adresse publique internet en ipv4 ou ipv6 ou les deux et une adresse sur le réseau local privé,l'adresse de la passerelle internet
En IPv6, ce n'est pas une adresse publique que la passerelle a, mais une plage (souvent un /64, parfois un /48). En IPv4, c'est une seule adresse.
comment par ipv6 les adresses lan privées peuvent elles être connues du réseau publique sans utiliser un service internet pour les lister où se trouve la différence?
Dans le cas d'IPv4, la passerelle fait du PAT/NAT pour quye les machines du LAN puisse accéder à Internet. On apelle cela du masquerading, car la passerelle masque les requêtes du LAN en faisant croire qu'elles émanent de la passerelle. Par exemple :
Le PC du LAN fait une requête sur google.com port 80, et demande la réponse sur sa propre IP, 192.168.1.2, port 45678
Sa table de routage indique qu'il doit faire transiter la connection par sa passerelle, 192.168.1.1
La passerelle reçoit le paquet et le route vers google.com. Au passage, la passerelle change l'adresse de réponse par sa propre adresse public 1.2.3.4 (exemple) et sur le port 98765 ; elle mémorise cette translation d'adresse et de port : 1.2.3.4:98765 --> 192.168.1.2:45678.
Ensuite elle route le paquet normalement, qui part vers google.com
gogole.com reçoit la requête, et répond à 1.2.3.4:98765
La passerelle reçoit un paquet sur son adresse publique, port 98765 ; elle inspecte sa table de translation, et en déduit que le PC du LAN est à l'origine de a requête. Donc elle remodifie l'adresse de destination en 192.168.1.2:45678
Elle route ensuite le paquet, qui part vers le PC du LAN qui reçoit la réponse tant attendue.
Et ainsi de suite. Ce qui permet à plusieurs machines du LAN de contacter des machines sur Internet. L'effet de bord, c'est que les paquets entrants sur l'IP publique de la passerelle ne peuvent jamais être routée vers une machine du LAN, sans que celle-ci soit préalablement à l'origine de la connection (Cf. la séquence TCP SYN/SYN_ACK/ACK) [0]. Ce qui fait office de pare-feu.
[0] Sauf à configurer la passerelle pour faire du port-forwarding, mais à ce moment là, chaque port ne peut être à destination que d'une seule machine du LAN. Impossible de forwarder un même port vers deux machines ; ex: pas possible de contacter le port 22 de deux machines du LAN en se connectant au port 22 de la passerelle, il faut utiliser deux ports (eg. 22 pour la première machine, 23 pour la seconde). Et dans ce cas, il n'est plus possible de contacter la passerelle sur ce port, puisqu'il est à destination d'une machine du LAN.
Pour IPv6, la plage d'adresse fournie par le FAI peut être redistribuée dans le LAN. Dans ce cas, il n'y a plus besoin de faire du PAT/NAT, puisque toutes les machines du LAN ont une IPv6 publique. Donc la passerelle peut alors jouer le rôle d'un vrai routeur.
L'effet de bord, c'est que le pare-feu implicite dû au PAT/NAT disparait. La solution simpliste serait de mettre un pare-feu sur chaque machine du LAN. Il est aussi envisageable (et c'est ce qui va se passer!) que la passerelle se intègre un vrai pare-feu.
Bien sûr, il est aussi possible de servir une plage d'adresses IPv6 privées dans le LAN, et à ce moment là les machines du LAN ne sont pas plus joignables qu'en IPv4. Mais au contraire d'IPv4, tu peux faire du simple NAT (translation d'adresse) sans faire de PAT (translation de port) : tu peux avoir une correspondance 1:1 entre les adresses privées et les adresses publiques. Tant que tu ne fais pas de NAT, les machines du LAN seront invisibles d'Internet. Ce qui n'est bien sûr pas le but d'IPv6, au contraire.
# Pasque ! :-)
Posté par ymorin . En réponse au message ipv6 lan et box. Évalué à 4. Dernière modification le 11 mars 2012 à 10:33.
En IPv6, ce n'est pas une adresse publique que la passerelle a, mais une plage (souvent un /64, parfois un /48). En IPv4, c'est une seule adresse.
Dans le cas d'IPv4, la passerelle fait du PAT/NAT pour quye les machines du LAN puisse accéder à Internet. On apelle cela du
masquerading, car la passerelle masque les requêtes du LAN en faisant croire qu'elles émanent de la passerelle. Par exemple :Et ainsi de suite. Ce qui permet à plusieurs machines du LAN de contacter des machines sur Internet. L'effet de bord, c'est que les paquets entrants sur l'IP publique de la passerelle ne peuvent jamais être routée vers une machine du LAN, sans que celle-ci soit préalablement à l'origine de la connection (Cf. la séquence TCP SYN/SYN_ACK/ACK) [0]. Ce qui fait office de pare-feu.
[0] Sauf à configurer la passerelle pour faire du
port-forwarding, mais à ce moment là, chaque port ne peut être à destination que d'une seule machine du LAN. Impossible de forwarder un même port vers deux machines ; ex: pas possible de contacter le port 22 de deux machines du LAN en se connectant au port 22 de la passerelle, il faut utiliser deux ports (eg. 22 pour la première machine, 23 pour la seconde). Et dans ce cas, il n'est plus possible de contacter la passerelle sur ce port, puisqu'il est à destination d'une machine du LAN.Pour IPv6, la plage d'adresse fournie par le FAI peut être redistribuée dans le LAN. Dans ce cas, il n'y a plus besoin de faire du PAT/NAT, puisque toutes les machines du LAN ont une IPv6 publique. Donc la passerelle peut alors jouer le rôle d'un vrai routeur.
L'effet de bord, c'est que le pare-feu implicite dû au PAT/NAT disparait. La solution simpliste serait de mettre un pare-feu sur chaque machine du LAN. Il est aussi envisageable (et c'est ce qui va se passer!) que la passerelle se intègre un vrai pare-feu.
Bien sûr, il est aussi possible de servir une plage d'adresses IPv6 privées dans le LAN, et à ce moment là les machines du LAN ne sont pas plus joignables qu'en IPv4. Mais au contraire d'IPv4, tu peux faire du simple NAT (translation d'adresse) sans faire de PAT (translation de port) : tu peux avoir une correspondance 1:1 entre les adresses privées et les adresses publiques. Tant que tu ne fais pas de NAT, les machines du LAN seront invisibles d'Internet. Ce qui n'est bien sûr pas le but d'IPv6, au contraire.
Hop,
Moi.