- Anzeige -

dynamischer IPv6-Präfix und Linux-Firewall

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

dynamischer IPv6-Präfix und Linux-Firewall

Beitragvon GoaSkin » 16.09.2014, 13:48

Hallo,

man kann zwar bei Verwendung einer Fritzbox einzelne Ports für Systeme im Haus freigeben, jedoch hat die per Web konfigurierbare Firewall in der FB ihre Grenzen. Zu dem kann man bei Verwendung des TC7200 sowieso nur entweder alles sperren oder alles freigeben.

So gibt Fälle, in denen es ratsam ist, eine nachgelagerte Firewall selbst aufzusetzen. Die Tatsache, dass man jedoch einen dynamischen IPv6-Präfix vom Provider erhält (auch wenn sich der Präfix selten ändert) macht es jedoch schwierig, per ip6tables Regeln zu definieren, die für bestimmte Hosts immernoch gleichermaßen gültig bleiben, wenn sich der Präfix ändert.

Weiss jemand, ob es möglich ist, Firewall-Regeln so zu definieren, dass sie sich auf den Suffix statt dem Präfix einer IP-Adresse beziehen?

Man könnte zwar ein Skript erstellen, was den Präfix herausfindet und ip6tables bei Verwendung von Variabeln aufruft, jedoch würden die Regeln bei einem Präfix-Wechsel ihre Gültigkeit verlieren.
Es gibt drei Fleischsorten: Beef, Chicken und Veggie. Von welchem Tier die kommen? Von garkeinem, sondern aus der Packung.
GoaSkin
Glasfaserstrecke
 
Beiträge: 1093
Registriert: 12.12.2009, 17:25

Re: dynamischer IPv6-Präfix und Linux-Firewall

Beitragvon tq1199 » 16.09.2014, 15:15

GoaSkin hat geschrieben:... (auch wenn sich der Präfix selten ändert) ..., jedoch würden die Regeln bei einem Präfix-Wechsel ihre Gültigkeit verlieren.

Man könnte das "seltene Ändern" des Präfixes, mit z. B. einem watchdog (oder gleichwertig) überwachen und wenn der Fall der Änderung eingetreten ist, eine neue gültige ip6tables-Regel generieren und die alte nicht mehr gültige ip6tables-Regel löschen.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1265
Registriert: 07.02.2014, 10:05

Re: dynamischer IPv6-Präfix und Linux-Firewall

Beitragvon NEXO » 16.09.2014, 15:34

GoaSkin hat geschrieben:Weiss jemand, ob es möglich ist, Firewall-Regeln so zu definieren, dass sie sich auf den Suffix statt dem Präfix einer IP-Adresse beziehen?

Mit mehr Schreibarbeit... aber nicht besonders sinnvoll. Suffixe sind nicht eindeutig und eröffnen jedem potentiellen Eindringling mit mehr oder weniger großem Subnetz entsprechend alle Türen.

tq1199's Vorschlag wäre auch meine erste Wahl. Natürlich nur ein Workaround, aber zumindest ein sinnvolles.
Man könnte man das ggf. auch über einen (zweckentfremdeten) DynDNS-Dienste auf dem Router lösen (Server auf dem Firewall-System, der entsprechend auf die Änderung reagiert). Oder halt klassisches Watchdog-Skript, das zyklisch auf Adressänderung prüft.
NEXO
Kabelneuling
 
Beiträge: 13
Registriert: 16.09.2014, 12:42

Re: dynamischer IPv6-Präfix und Linux-Firewall

Beitragvon SpaceRat » 16.09.2014, 19:17

NEXO hat geschrieben:Mit mehr Schreibarbeit... aber nicht besonders sinnvoll. Suffixe sind nicht eindeutig und eröffnen jedem potentiellen Eindringling mit mehr oder weniger großem Subnetz entsprechend alle Türen.

Es geht wohl eher um die Zielrechner ...

Jede gute IPv6-Firewall wird entweder über die "Suffixe" (Also den geräteabhängigen Teil der IPv6-Adresse) oder die DUID konfiguriert, nur ip6tables nicht.

Wir haben's hier mit der klassischen Mentalität des typischen Linux-Entwicklers zu tun, daß nicht sein kann (dynamische Präfixe), was nicht sein darf (Eigentlich sind sie wirklich Blödsinn).
Tatsache ist, wir haben in Deutschland quer durch die Bank weg bei fast allen Providern dynamische IPv6-Präfixe und ip6tables kann sie nicht wirklich handhaben.

Solange sich Linux-Entwickler lieber in ihrer eigenen Wahnwelt (Haloperidol würde helfen) statt in der Realität bewegen, wird sich da so schnell auch nix dran ändern.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen


Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: Exabot [Bot], Google [Bot], Yahoo [Bot] und 58 Gäste