On Sun, May 06, 2007 at 06:32:21PM +0200, Pascal Hambourg wrote:
>
> >A vrai dire je n'ai jamais regarde de pres l'ipv6 et comment cela
> >fonctionnait par rapport a l'ipv4. (Aie, Aie !!)
>
> Dans les grandes lignes ça fonctionne à peu près pareil, sauf que les
> adresses sont plus longues - en contrepartie il y en a davantage - et
> moins "jolies". Quoique, l'hexa permet de créer des adresses rigolottes
> comme le bien connu dead:beef ou cafe:deca:fade. ;-)
J'ai regarde un peu du cote de wikipedia, pour mettre un peu plus *les
points sur les i*. L'ecriture hexa pour les adresses est plutot sympa en
effet, et c'est assez simple de s'en souvenir si on tombe sur quelque
chose de coherent :p! Mais bon, il y a peu de chance quand meme.
C'est facile a mettre en place ? J'ai bien vu l'histoire de l'interface
*sit0* (encapsulation ipv6 dans ipv4) mais je ne suis pas alle plus
loin. D'ailleurs, je ne vois pas pourquoi on encapsulerait ipv6 dans
ipv4 car ils sont senses pouvoir fonctionner ensemble, le type de la
version utilisee etant present dans la trame ip.
Va falloir faire du google la dessus pour eclaircir les gros points
noirs :p!
> [...]
> >Du coup, je me rends compte que cela serait plus judicieux de mettre
> >quelque chose du genre.
> >
> >listen-on { any; };
> >allow-query { 127.0.0.0/8; 192.168.0.0/24; };
>
> Par exemple. L'option 'allow-query' n'empêche pas de limiter le
> 'listen-on' aux adresses locales utiles, ça peut économiser quelques
> sockets puisque BIND ouvre deux sockets (TCP et UDP) par adresse IPv4.
> Autrement, on peut aussi restreindre l'accès avec des règles iptables.
Autant bien configurer les differents services presents sur un systeme,
et ensuite rajouter une couche de iptables par dessus. On est doublement
plus securise.
> >>En pratique, le fait de ne mettre dans l'option 'listen-on' qu'une
> >>adresse de loopback et une adresse privée a des chances d'aboutir au
> >>même résultat, mais c'est par effet de bord : la pile IP n'accepte pas
> >>les communications depuis ou vers 127.0.0.0/8 qui passent par une autre
> >>interface que l'inteface de loopback,
> >
> >loopback ne dialogue qu'avec loopback
>
> Oui, mais il faut distinguer l'interface de loopback (lo) du bloc
> d'adresses de loopback (127.0.0.0/8). On pourrait imaginer qu'un petit
> malin trafique sa table de routage pour envoyer des requêtes à ta
> machine à destination d'une adresse de loopback. Mais la pile IP de
> Linux les rejettera car la restriction des adresses de loopback à
> l'interface de loopback est codée en dur. Ce genre d'attaque a déjà
> servi contre des OS n'ayant pas cette restriction.
Que dire de plus ? Vive Linux !
--
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
Attachment:
signature.asc
Description: Digital signature