open port σε ipv6

[xhaos]

έχω το εξής πρόβλημα, το οποίο από ότι καταλαβαίνω δεν έχει λύση, but here goes nothing....
πρακτικά αυτό που θέλω είναι να ανοίξω ports στο ipv6 firewall. Ο λόγος είναι προφανής, και δεδομένου ότι με το dual stack αν υπαρχει ipv6 διεύθυνση πάει να συνδεθεί εκεί......
όμως όπως ξέρουμε ο ISP δίνει ένα dynamic prefix, οπότε αλλάζουν οι ipv6 διευθύνσεις στο LAN, μπορεί από το SLAAC να κρατάνε σταθερή την κατάληξη από τη mac της κάθε συσκευής, αλλά το prefix αλλάζει.

οπότε: πως ανοίγουμε ports????
από ότι βλέπω, ένας τρόπος είναι με script το οποίο θα δημιουργεί ξανά κανόνες. Βέβαια αυτός είναι χάλια τρόπος.
Ένας άλλος τρόπος από ότι βλέπω είναι με iptables extensions, και συγκεκριμενα

-A FORWARD -m u32 --u32 "32 = 0x11223344 && 36 = 0xAABBCCDD" -j ACCEPTπου θα κάνει forward traffic προς τη mac AA.BB.CC.DD

γενικά τρελή τρύπα το ipv6.

[deniSun]

έχω το εξής πρόβλημα, το οποίο από ότι καταλαβαίνω δεν έχει λύση, but here goes nothing....
πρακτικά αυτό που θέλω είναι να ανοίξω ports στο ipv6 firewall. Ο λόγος είναι προφανής, και δεδομένου ότι με το dual stack αν υπαρχει ipv6 διεύθυνση πάει να συνδεθεί εκεί......
όμως όπως ξέρουμε ο ISP δίνει ένα dynamic prefix, οπότε αλλάζουν οι ipv6 διευθύνσεις στο LAN, μπορεί από το SLAAC να κρατάνε σταθερή την κατάληξη από τη mac της κάθε συσκευής, αλλά το prefix αλλάζει.

οπότε: πως ανοίγουμε ports????
από ότι βλέπω, ένας τρόπος είναι με script το οποίο θα δημιουργεί ξανά κανόνες. Βέβαια αυτός είναι χάλια τρόπος.
Ένας άλλος τρόπος από ότι βλέπω είναι με iptables extensions, και συγκεκριμενα

-A FORWARD -m u32 --u32 "32 = 0x11223344 && 36 = 0xAABBCCDD" -j ACCEPTπου θα κάνει forward traffic προς τη mac AA.BB.CC.DD

γενικά τρελή τρύπα το ipv6.

Το ν6 δεν έχει τρύπα.
Οι υλοποιήσεις είναι προβληματικές γιατί δεν γνωρίζει ο κόσμος τον τρόπο λειτουργίας του.
Έχουν ακόμα κατάλοιπα του ΝΑΤ.
Γι αυτό έλεγα πάντα ότι προτιμότερο ήταν να ξυπνήσουμε μια μέρα και να μας πούνε ότι θέλεις / δεν θέλεις περνάς σε ν6 με ότι κόστος και αν έχει αυτό για τον τελικό χρήστη.
Αυτή η κατάσταση αλλού με ν4 και αλλού με ν6 είναι αρρώστια.

[SfH]

Πέρα αυτών που αναφέρεις, αν θες να έχεις υπηρεσίες, καλό θα ήταν να ζητήσεις static. Αν δεν το επιθυμείς, θα μπορούσες εναλλακτικά να βάλεις των/τους hosts που θες να έχουν ανοιχτό κάποιο port σε ξεχωριστό δίκτυο/vlan , και να κάνεις σχετικά firewalls rules με βάση το interface, που είναι σταθερό.

[xhaos]

Σε home use σκεφτείτε το εξής σενάριο, έχεις ένα κατεβαστιρι δίχως fw γιατί το fw τρέχει στο router. Το nas έχει ipv6 και ανοίγει συνδέσεις από το torrent. Κάποιος τσιμπάει τη ipv6 και κάνει port scan. Έχει προσπεράσει τα firewall και όλα με τη μία. Αν δε έχεις κανένα ανοικτό samba βαράτε βιολιτζιδες.

Προσωπικά το έκοψα το v6 μέχρι να βρώ άκρη

[SfH]

Στο τυπικό σενάριο, ο πάροχος έχει ανοιχτό by default stateful firewall για ipv6 στο CPE. Συνεπώς δε θα φανεί τίποτα προς τα έξω, εκτός αν το αφήσει ο χρήστης εσκεμμένα.

[Nikiforos]

Σε home use σκεφτείτε το εξής σενάριο, έχεις ένα κατεβαστιρι δίχως fw γιατί το fw τρέχει στο router. Το nas έχει ipv6 και ανοίγει συνδέσεις από το torrent. Κάποιος τσιμπάει τη ipv6 και κάνει port scan. Έχει προσπεράσει τα firewall και όλα με τη μία. Αν δε έχεις κανένα ανοικτό samba βαράτε βιολιτζιδες.

Προσωπικά το έκοψα το v6 μέχρι να βρώ άκρη

καλησπέρα, και να υποθεσω οτι δεν εχεις δλδ στημενο firewall για ipv6? https://www.adslgr.com/forum/threads...-IPv6-firewall
γιατι το port scanning δεν θα ηταν εφικτο να γινει.

[esma]

Στο τυπικό σενάριο, ο πάροχος έχει ανοιχτό by default stateful firewall για ipv6 στο CPE. Συνεπώς δε θα φανεί τίποτα προς τα έξω, εκτός αν το αφήσει ο χρήστης εσκεμμένα.

Τι σημαίνει stateful firewall;

Τι σημαίνει δεν θα φανεί τίποτα προς τα έξω;
Από οτι έχω καταλάβει στο ipv6 δεν υπάρχει NAT. Άρα υποθέτω ότι εφόσον κάποια συσκευή μας πάρει IPV6 είναι αυτομάτως εκτεθειμένη προς τα έξω. Που σημαίνει αν η ίδια δεν έχει firewall το CPE δεν μπορεί να την βοηθήσει.

[deniSun]

Τι σημαίνει stateful firewall;

Τι σημαίνει δεν θα φανεί τίποτα προς τα έξω;
Από οτι έχω καταλάβει στο ipv6 δεν υπάρχει NAT. Άρα υποθέτω ότι εφόσον κάποια συσκευή μας πάρει IPV6 είναι αυτομάτως εκτεθειμένη προς τα έξω. Που σημαίνει αν η ίδια δεν έχει firewall το CPE δεν μπορεί να την βοηθήσει.

Η κάθε συσκευή έχει σαν gw το ρούτερ σου.
Οπότε αν έχεις εκεί ν6 fw είσαι οκ.

[SfH]

Τι σημαίνει stateful firewall;

Τι σημαίνει δεν θα φανεί τίποτα προς τα έξω;

Γενικεύοντας, το πιο κοινό configuration ενός stateful firewall λειτουργεί ως εξής. Επιτρέπονται οι εξερχόμενες συνδέσεις. Κοιτώντας τα πακέτα αυτών, ο router φτιάχνει ένα state table με το οποίο αναγνωρίζει εάν τα εισερχόμενα πακέτα ανήκουν σε αυτές ή όχι. Αν ανήκουν, τα αφήνει να περάσουν. Αν όχι, τα κάνει drop. Αν τρέχεις κάποια υπηρεσία και θες να δέχεται εισερχόμενες συνδέσεις, πρέπει να το ορίσεις ρητά.

Το αποτέλεσμα μοιάζει αρκετά με του κοινού NAT configuration, χωρίς να υπάρχει η αλλαγή των IP διευθύνσεων.

[xhaos]

Nat δεν είναι firewall.

[Nikiforos]

καλημερα, καλα λεει ο Denis, οι συσκευες μας εχουν σαν gw το router μας mikrotik εδω οποτε αν εκει εχουμε σωστο και καλοστημενο firewall για το ipv6 δεν εχουμε προβλημα. Το ΝΑΤ δεν ειναι firewall φυσικα οποτε και να ειχε δεν μας σωζει, αλλα και παλι δεν ειμαστε πισω απο ΝΑΤ παντα στο ipv4, ουτε απο τους παροχους εφοσον παιρνουμε public ips, ουτε απο το ρουτερ μας, γιατι απλα δεν το χρησιμοποιουμε παντα, παρα μονο σε μερικες περιπτωσεις πχ για VPN's.