Actions
Demande #2436
ferméIpv6 sur l'infra
Statut:
Fermé
Priorité:
Normale
Assigné à:
Catégorie:
-
Version cible:
Début:
06/06/2017
Echéance:
% réalisé:
100%
Temps estimé:
Description
Il serait bon d'avoir de l'ipv6 sur l'infrastructure, cela faciliterait les choses (ne pas le désactiver là où il est activé par défaut).
La différence est qu'en ipv6 on fonctionne plus souvent sans réseau privé, mais qu'avec des adresses ip publiques… il faut donc déployer des pare-feux sur chaque machine !
Je pense qu'on peut configurer le réseau de maine/coon comme ceci (correspondance des terminaisons d'adresses ip) :
<network>
<name>default</name>
<uuid>cd3db10b-f4d7-4032-bb53-4cda1c7dc237</uuid>
<forward mode='nat'/>
<bridge name='virbr0' stp='on' delay='0'/>
<mac address='52:54:00:54:b8:24'/>
<ip address='192.168.1.4' netmask='255.255.255.0'>
<dhcp>
<range start='192.168.1.100' end='192.168.1.199'/>
<host mac='52:54:00:02:e2:7a' name='dns' ip='192.168.1.53'/>
<host mac='52:54:00:df:9f:7b' name='bastion' ip='192.168.1.93'/>
<host mac='52:54:00:d6:6b:0a' name='mail' ip='192.168.1.57'/>
<host mac='52:54:00:ad:15:d9' name='admin' ip='192.168.1.70'/>
<host mac='52:54:00:61:f0:0f' name='pouet' ip='192.168.1.194'/>
</dhcp>
</ip>
<ip family='ipv6' address='2a01:4f8:10b:c41::' prefix='64'>
<dhcp>
<range start='2a01:4f8:10b:c41:1:100' end='2a01:4f8:10b:c41:1:199'/>
<host mac='52:54:00:02:e2:7a' name='dns' ip='2a01:4f8:10b:c41:1:53'/>
<host mac='52:54:00:df:9f:7b' name='bastion' ip='2a01:4f8:10b:c41:1:93'/>
<host mac='52:54:00:d6:6b:0a' name='mail' ip='2a01:4f8:10b:c41:1:57'/>
<host mac='52:54:00:ad:15:d9' name='admin' ip='2a01:4f8:10b:c41:1:70'/>
<host mac='52:54:00:61:f0:0f' name='pouet' ip='2a01:4f8:10b:c41:1:194'/>
</dhcp>
</ip>
</network>
Et derrière déployer des pare-feu iptables qui bloquent tout le traffic entrant sauf s'il vient de notre /64, ou si c'est un port autorisé (mail, ssh, http, https sur les vm idoines).
Actions