Ports freischlaten

Unitymedia-Mobil bietet Handy- und Smartphone-Tarife, die im Netz von Telefónica Germany (o2) realisiert werden.
Forumsregeln
Kunden mit einem Unitymedia Mobil-Tarif können über die Rufnummer 0176 / 888 66 310 kostenfrei Hilfe bei allen Problemen in Anspruch nehmen.
Leseratte10
Glasfaserstrecke
Beiträge: 1481
Registriert: 07.03.2013, 15:56

Re: Ports freischlaten

Beitrag von Leseratte10 » 16.03.2017, 17:22

Liegt einfach daran das sowohl TC als auch ConnectBox nur halbherzigen IPv6-Support hingerotzt bekommen haben weil UM das wollte und trotzdem nur diese Schrottgeräte nutzt. Bei Fritzboxen oder anderen vernünftigen Routern klappt auch ne brauchbare IPv6-Firewall (wie du bereits erkannt hast).

MartinDJR
Übergeordneter Verstärkerpunkt
Beiträge: 662
Registriert: 22.12.2015, 15:53

Re: Ports freischlaten

Beitrag von MartinDJR » 16.03.2017, 18:27

Leseratte10 hat geschrieben:
16.03.2017, 17:22
Liegt einfach daran das sowohl TC als auch ConnectBox ...
Ich habe nur das Manual zu einer österreichischen oder schweizerischen UPC-ConnectBox gesehen. Ich gehe mal davon aus, dass die deutsche nicht viel anders ist.

Die Einstellungen in der Firewall dort sind sogar noch detaillierter möglich als das, was ich auf dem Screenshot der FritzBox von "Gizeh775" sehen kann - also durchaus brauchbar.

Allerdings kann meines Wissens zur Zeit kein Router eine Freigabe basieren auf der Ziel-MAC-Adresse machen (noch nicht einmal OpenWRT u.Ä.). Und bei dynamischen IPv6-Präfixen ist die Angabe einer IPv6-Adresse in der Firewall eher sinnlos, so dass nur die Möglichkeit bleibt, einen kompletten Port für alle Rechner freizuschalten.

Gizeh775
Ehrenmitglied
Beiträge: 562
Registriert: 23.01.2016, 16:50

Re: Ports freischlaten

Beitrag von Gizeh775 » 16.03.2017, 18:39

MartinDJR hat geschrieben:
16.03.2017, 18:27
Leseratte10 hat geschrieben:
16.03.2017, 17:22
Liegt einfach daran das sowohl TC als auch ConnectBox ...
Ich habe nur das Manual zu einer österreichischen oder schweizerischen UPC-ConnectBox gesehen. Ich gehe mal davon aus, dass die deutsche nicht viel anders ist.

Die Einstellungen in der Firewall dort sind sogar noch detaillierter möglich als das, was ich auf dem Screenshot der FritzBox von "Gizeh775" sehen kann - also durchaus brauchbar.

Allerdings kann meines Wissens zur Zeit kein Router eine Freigabe basieren auf der Ziel-MAC-Adresse machen (noch nicht einmal OpenWRT u.Ä.). Und bei dynamischen IPv6-Präfixen ist die Angabe einer IPv6-Adresse in der Firewall eher sinnlos, so dass nur die Möglichkeit bleibt, einen kompletten Port für alle Rechner freizuschalten.
MartinDJR hat geschrieben:
15.03.2017, 23:14
Beim TC7200 (falls du so einen Router hast) kann man die Firewall nur komplett abschalten (dann braucht man auch keine Ports freischalten) oder komplett einschalten (dann werden alle Ports geblockt).

Bei der ConnectBox geht deutlich mehr. Eine halbwegs sinnvolle Portfreischaltung ist aber nur auf die Portnummer möglich. Wenn du z.B. Port 1234 freischaltest, sind ALLE Rechner in deinem Heimnetzwerk auf Port 1234 (auf ihrer jeweiligen IPv6-Adresse) "von Außen" erreichbar.
Irgendwie widersprichst du dir gerade selber.

MartinDJR
Übergeordneter Verstärkerpunkt
Beiträge: 662
Registriert: 22.12.2015, 15:53

Re: Ports freischlaten

Beitrag von MartinDJR » 16.03.2017, 22:18

Gizeh775 hat geschrieben:
16.03.2017, 18:39
Irgendwie widersprichst du dir gerade selber.
Nicht ganz:
MartinDJR hat geschrieben:
15.03.2017, 23:14
Bei der ConnectBox geht deutlich mehr. Eine halbwegs sinnvolle Portfreischaltung ist aber nur auf die Portnummer möglich.
Mit dem Wort "sinnvoll" war folgendes gemeint:

Möglich ist auch eine Portfreischaltung auf eine einzelne IPv6-Adresse, was bei einem dynamischen Präfix aber nicht wirklich "sinnvoll" ist: Jedes mal, wenn der Provider das Präfix ändert, müsste ich die Firewall-Einstellungen nachziehen!

Das einzige, was bei dynamischen Präfixen wirklich sinnvoll wäre, wäre eine Firewall, bei der man nicht die IPv6-Adressen, sondern die MAC-Adressen der Zielrechner angibt.

Leider gibt es momentan aber offensichtlich noch keinen Router, der dieses Feature anbietet, obwohl es technisch machbar wäre.

Bleibt nur, wie im Screenshot der FritzBox zu sehen, Ports für alle Rechner freizuschalten.

addicted
Kabelkopfstation
Beiträge: 4137
Registriert: 15.03.2010, 02:35

Re: Ports freischlaten

Beitrag von addicted » 16.03.2017, 22:52

MartinDJR hat geschrieben:
16.03.2017, 18:27
Allerdings kann meines Wissens zur Zeit kein Router eine Freigabe basieren auf der Ziel-MAC-Adresse machen (noch nicht einmal OpenWRT u.Ä.).
Weils in Linux nicht geht. Das Thema hatten wir schon.
MartinDJR hat geschrieben:
16.03.2017, 18:27
Und bei dynamischen IPv6-Präfixen ist die Angabe einer IPv6-Adresse in der Firewall eher sinnlos
und
MartinDJR hat geschrieben:
16.03.2017, 22:18
Jedes mal, wenn der Provider das Präfix ändert, müsste ich die Firewall-Einstellungen nachziehen!
Router mit ordentlichem v6 Support modifizieren bei einem dynamischen (via DHCP+PD erhaltenem) Präfix die Firewallregeln (und die lokalen Routen) automatisch.

Leseratte10
Glasfaserstrecke
Beiträge: 1481
Registriert: 07.03.2013, 15:56

Re: Ports freischlaten

Beitrag von Leseratte10 » 16.03.2017, 23:02

Wie, kein Router kann das? Die Fritzbox schon, oder? Man gibt ne Interface-ID ein (= MAC + fffe) und kann für diese Interface-ID Ports freigeben, unabhängig vom Prefix. Oder ging es um freie Linux-Router?

addicted
Kabelkopfstation
Beiträge: 4137
Registriert: 15.03.2010, 02:35

Re: Ports freischlaten

Beitrag von addicted » 17.03.2017, 08:05

Was die Fritzbox mit "Interface-ID" meint, ist nicht Filterung auf MAC-Adressen-Ebene. Damit gibst Du die EUI-64 Adresse (mit beliebigem /64er Prefix) frei, also das was auch die meisten anderen Router können.
Möglicherweise gilt die Freigabe auch für PE Adressen, wenn die Fritzbox da extra was für gebaut hat, aber instinktiv würde ich erstmal "nur für die feste IP" vermuten.

Das Problem mit der Filterung nach MAC Adresse bei eingehenden Paketen hatten wir, wie gesagt, schonmal besprochen. Der Kernel weiß bei einem ankommenden Paket nicht, an welchen Host er das schicken muss - der Paketfilter ist deutlich früher dran als der Neighbor Lookup, daher ist die Ziel-MAC-Adresse zu dem Zeitpunkt unbekannt.

MartinDJR
Übergeordneter Verstärkerpunkt
Beiträge: 662
Registriert: 22.12.2015, 15:53

Re: Ports freischlaten

Beitrag von MartinDJR » 17.03.2017, 09:02

addicted hat geschrieben:
16.03.2017, 22:52
Weils in Linux nicht geht. Das Thema hatten wir schon.
... wenn man den TCP/IP-Stack nicht abändert.

Mit meiner persönlichen Erfahrung (habe sowohl low-level-Netzwerkprogrammierung als auch Treiberentwicklung für Linux und Solaris gemacht) würde ich behaupten, dass es sich dabei eher um eine kleinere Änderung handelt - vielleicht 1 Mannmonat.

Linux ist ein Open-Source-System unter GNU-Lizenz, was bedeutet, dass jeder, der das möchte, diese Änderung durchführen kann und darf.

Die Argumentation "es geht nicht" lasse ich daher nicht gelten. Nur die Argumentation: "Der Arbeitsaufwand ist zu hoch". Aber bei einem guten Oberklasse-Router sollte man erwarten, dass der Hersteller auch "hohen Arbeitsaufwand" in das Gerät reingesteckt hat.
addicted hat geschrieben:
16.03.2017, 22:52
Router mit ordentlichem v6 Support modifizieren bei einem dynamischen (via DHCP+PD erhaltenem) Präfix die Firewallregeln (und die lokalen Routen) automatisch.
Das funktioniert, so lange die "Interface ID" des "Zielrechners" fest ist. Wenn "Privacy Extensions" eingeschaltet sind, ändern die Rechner bei einem Präfixwechsel auch den hinteren Teil ihrer IPv6-Adresse.

Soviel ich weiß gibt es Windoof-Versionen, bei denen man mit "Privacy Extensions" "zwangsbeglückt" wird. Dann würde das nicht mehr funktionieren.

Leseratte10
Glasfaserstrecke
Beiträge: 1481
Registriert: 07.03.2013, 15:56

Re: Ports freischlaten

Beitrag von Leseratte10 » 17.03.2017, 10:53

Ach das habt ihr gemeint. Ich dachte, ihr redet von wechselndem Präfix und nicht von den Privacy Extensions.

Braucht man das im Normalfall überhaupt? Hat Windows nicht standardmäßig eine feste EUI für Serverdienste und dann halt die dynamischen für Client-Dienste? Dann wäre es Aufgabe der Programme sich die richtige zu suchen, und nicht Aufgabe der Router das zurechtzuwürfeln.

hajodele
Kabelkopfstation
Beiträge: 4969
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Ports freischlaten

Beitrag von hajodele » 17.03.2017, 12:08

MartinDJR hat geschrieben:
17.03.2017, 09:02
Soviel ich weiß gibt es Windoof-Versionen, bei denen man mit "Privacy Extensions" "zwangsbeglückt" wird. Dann würde das nicht mehr funktionieren.
Butter bei den Fisch - welche?
Out of the Box ist das bei allen Clients eingeschaltet. Ich kenne nur keine Version, bei der es nicht auszuschalten ist.

Bei mir pointet Win7 und Win10 immer korrekt auf das richtige Gerät. Egal ob of oder on.
Nur ist es für uns Menschen besser lesbar, wenn nur 1 öffentliche IPv6 sichtbar ist.

Ich habe übrigens mit meinem RaspberryPi unter Debian noch das Problem, dass es da nicht sauber tut.

Noch was anderes: Wie sollte http://www.feste-ip.net/ funktionieren, wenn es da Probleme gibt.

MartinDJR
Übergeordneter Verstärkerpunkt
Beiträge: 662
Registriert: 22.12.2015, 15:53

Re: Ports freischlaten

Beitrag von MartinDJR » 17.03.2017, 13:19

hajodele hat geschrieben:
17.03.2017, 12:08
Out of the Box ist das bei allen Clients eingeschaltet. Ich kenne nur keine Version, bei der es nicht auszuschalten ist.
Ich habe gerade recherchiert: Mit Admin-Rechten und ohne Security-Software scheint es tatsächlich so zu sein, wie du sagst.
hajodele hat geschrieben:
17.03.2017, 12:08
Noch was anderes: Wie sollte http://www.feste-ip.net/ funktionieren, wenn es da Probleme gibt.
Dieser Service funktioniert sowieso nur dann, wenn ein Rechner zuhause bei jedem Präfixwechsel den Server von Feste-IP über die neue IPv6-Adresse (bzw. das Präfix) "informiert".

Ob ich Feste-IP nun das neue Präfix mitteile oder die IPv6-Adresse in voller Länge, ist eigentlich egal.

addicted
Kabelkopfstation
Beiträge: 4137
Registriert: 15.03.2010, 02:35

Re: Ports freischlaten

Beitrag von addicted » 17.03.2017, 18:54

MartinDJR hat geschrieben:
17.03.2017, 09:02
addicted hat geschrieben:
16.03.2017, 22:52
Weils in Linux nicht geht. Das Thema hatten wir schon.
... wenn man den TCP/IP-Stack nicht abändert.

Mit meiner persönlichen Erfahrung (habe sowohl low-level-Netzwerkprogrammierung als auch Treiberentwicklung für Linux und Solaris gemacht) würde ich behaupten, dass es sich dabei eher um eine kleinere Änderung handelt - vielleicht 1 Mannmonat.
Das ist ja total toll.

Dann können wir uns sicherlich darauf einigen, dass wir solange "Es geht nicht" sagen, bis Du das implementiert hast.

:zerstör:

MartinDJR
Übergeordneter Verstärkerpunkt
Beiträge: 662
Registriert: 22.12.2015, 15:53

Re: Ports freischlaten

Beitrag von MartinDJR » 17.03.2017, 21:51

addicted hat geschrieben:
17.03.2017, 18:54
Dann können wir uns sicherlich darauf einigen, dass wir solange "Es geht nicht" sagen, bis Du das implementiert hast.
Auf diese Idee bin ich bereits heute morgen auf dem Weg zur Arbeit gekommen!

Also gut: Ich werde demächst eine Beispielimplementierung schreiben, damit du mir endlich glaubst.

Zielhardware ist meine alte FritzBox 7050, die noch im Keller liegt!

addicted
Kabelkopfstation
Beiträge: 4137
Registriert: 15.03.2010, 02:35

Re: Ports freischlaten

Beitrag von addicted » 17.03.2017, 22:07

Mit glauben hat das nix zu tun. Solange der Kernel es nicht kann, kann es auch kein Router.
Wenn Du Deinen Code in den Kernel bekommst, werden es auch irgendwann Router können.
Vorher halt nicht.

MartinDJR
Übergeordneter Verstärkerpunkt
Beiträge: 662
Registriert: 22.12.2015, 15:53

Re: Ports freischlaten

Beitrag von MartinDJR » 24.03.2017, 08:16

addicted hat geschrieben:
17.03.2017, 18:54
Dann können wir uns sicherlich darauf einigen, dass wir solange "Es geht nicht" sagen, bis Du das implementiert hast.
Nach 15 Stunden Programmieraufwand funktioniert eine MAC-Adress-basierte Firewall jetzt auf meinem D-Link-Router (DIR615).

(Ich war zu faul, meine alte FB 7050 aus dem Keller zu holen, aber der DIR615 tut es ja auch.)
addicted hat geschrieben:
16.03.2017, 22:52
Weils in Linux nicht geht. Das Thema hatten wir schon.
Auf dem DIR615 läuft Linux 2.6.21.

#DiRK
Kabelexperte
Beiträge: 123
Registriert: 27.09.2013, 20:15
Wohnort: UM NRW // 120-6 IPv6 + DS-Lite // TC4400 + Linksys WRT1900ACS mit OpenWrt (LEDE)

Re: Ports freischlaten

Beitrag von #DiRK » 24.03.2017, 11:25

Nach 15 Stunden Programmieraufwand funktioniert eine MAC-Adress-basierte Firewall jetzt auf meinem D-Link-Router (DIR615).
Inklusive Privacy-Extensions?

Leseratte10
Glasfaserstrecke
Beiträge: 1481
Registriert: 07.03.2013, 15:56

Re: Ports freischlaten

Beitrag von Leseratte10 » 24.03.2017, 14:42

Eine MAC-basierte Firewall juckt die IP-Adresse und damit auch die Privacy Extensions nicht.

#DiRK
Kabelexperte
Beiträge: 123
Registriert: 27.09.2013, 20:15
Wohnort: UM NRW // 120-6 IPv6 + DS-Lite // TC4400 + Linksys WRT1900ACS mit OpenWrt (LEDE)

Re: Ports freischlaten

Beitrag von #DiRK » 24.03.2017, 15:21

Leseratte10 hat geschrieben:
24.03.2017, 14:42
Eine MAC-basierte Firewall juckt die IP-Adresse und damit auch die Privacy Extensions nicht.
Ja, das stimmt natürlich. Aber dennoch erhält der Router vom Provider erst einmal ein Paket mit einer IPv6-Zieladresse (Präfix + EUI64) und das muss erst einmal, abgesehen vom gesamten Firewall-Filtering-Voodoo, in eine MAC Adresse übersetzt werden. Hier beginnen m.E. die Probleme, wenn ich das programmatich ermöglichen will:
Alternative 1: via Neighbor Discovery (so sehen es m.E. die Standards vor)
Alternative 2: Umrechnung der EUI64 in eine MAC Adresse mittels Software (knifflig, Privacy Extensions sind außen vor, Standards wahrscheinlch auch) ;-)
Alternative 3: ???

Ggfs. kann uns @MartinDJR erläutern, wie er es im Code gelöst hat.

MartinDJR
Übergeordneter Verstärkerpunkt
Beiträge: 662
Registriert: 22.12.2015, 15:53

Re: Ports freischlaten

Beitrag von MartinDJR » 24.03.2017, 18:01

#DiRK hat geschrieben:
24.03.2017, 15:21
Hier beginnen m.E. die Probleme, wenn ich das programmatich ermöglichen will:
Ich verwende Neighbor Discovery.

Geplant habe ich, dass IP-Pakete, deren Ziel-MAC-Adresse ich nicht kenne, in einem Speicher zwischenspeichere, dann ein Neighbor Solicitation sende und beim Empfang des Neighbor Advertisements die Pakete aus dem Zwischenspeicher versende.

Bei einer "richtigen" Implementierung hätte ich das wohl auch so machen müssen, aber das hätte wohl eher 25 als 15 Stunden Aufwand gekostet...

Um die Sache etwas zu vereinfachen, nutze ich deswegen die Tatsache aus, dass TCP ein verlorenes Paket noch ein paar Mal wiederholt. Ich sende also beim ersten Paket mit unbekannter Ziel-MAC die Neighbor Solicitation, verwerfe das Paket, empfange relativ bald das Neighbor Advertisement und wenn das Wiederholte TCP-Paket ankommt kenne ich dann die MAC-Adresse.

Zugegeben: Das Ganze ist relativ primitiv, aber es ging mir nur darum, zu überprüfen, ob so eine Firewall technisch machbar ist.

addicted
Kabelkopfstation
Beiträge: 4137
Registriert: 15.03.2010, 02:35

Re: Ports freischlaten

Beitrag von addicted » 24.03.2017, 21:17

Na dann, erstmal Glückwunsch.

Und jetzt her mit dem Code ;)

MartinDJR
Übergeordneter Verstärkerpunkt
Beiträge: 662
Registriert: 22.12.2015, 15:53

Re: Ports freischlaten

Beitrag von MartinDJR » 25.03.2017, 07:54

addicted hat geschrieben:
24.03.2017, 21:17
Und jetzt her mit dem Code ;)
Mit "Code" meinst du wohl das hier?

https://sourceforge.net/p/debugbox/code ... _firewall/

addicted
Kabelkopfstation
Beiträge: 4137
Registriert: 15.03.2010, 02:35

Re: Ports freischlaten

Beitrag von addicted » 25.03.2017, 10:16

Jau, das meinte ich.

*seufz*

Eine tolle Leistung, sowas zu programmieren, das will ich wirklich nicht leugnen.
Es ist nur nicht, was ich erwartet hatte. :(

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast