Έχω αρχίσει τους πρώτους μου πειραματισμούς σε IPv6 (έχω Forthnet). Ενδιαφέροντα πράγματα, ειδικά βλέποντας τις διαφορετικές δρομολογήσεις που βλέπει κανείς προς εξωτερικό. Καλύτερα traces γενικότερα σε συνδυασμό με ταχύτερο (έτσι λένε στα χαρτιά) Packet processing λόγω του end to end checksumming. Αν έχω καταλάβει καλά.
Τέσπα, άνοιξα το thread για άλλους λόγους. Στο κλασσικό IP, αν θέλω να "βγάλω" κάποιες πόρτες (λ.χ. ένα SSH) έκανα ένα port mapping προς την στατική ψευδοip που έχω σετάρει τον SSH Server. Δουλειά με το NAT. Αλλά και public IPs να έχει όλο το δίκτυο, η ιστορία είναι ίδια, σετάρεις την IP και εκεί κάνεις έναν firewall rule για να αφήνει την εισερχόμενη κίνηση.
Σε αυτήν την περίπτωση φαντάζομαι είναι κανείς και με το IPv6, με τη διαφορά ότι σταντέ παίρνεις public IPs εσωτερικά. Τα οποία όμως, αν έχω καταλάβει σωστά αλλάζουν. Σόρρυ, αλλά είμαι και εγώ αρκετά μπερδεμένος: για το ίδιο interface δεκαπέντε ειδών διευθύνσεις. Για την ίδια δουλειά (απόδοση internal IP) 3 τρόποι (SLAAC, stateless/statefull DHCP). Έχω χάσει την μπάλλα λέμε
Για να μη σας μπερδεύω, ποια είναι η βέλτιστη πρακτική για να αφήνω κίνηση προς εισερχόμενα servers μου. Πως επιλέγω τις IP για τα εσωτερικά μηχανήματα, όταν αυτές ναι μεν είναι public αλλά αλλάζουν. Τι κάνετε εσείς;
Εμφάνιση 1-7 από 7
-
18-04-17, 10:19 IPv6 και firewalling: πρακτικές; #1
-
18-04-17, 13:55 Απάντηση: IPv6 και firewalling: πρακτικές; #2
Καλησπέρα
Δεν είναι περίεργο που έχεις χάσει τη μπάλα καθώς είναι αρκετά διαφορετικό ζώο από το ipv4, ενώ οι υλοποιήσεις διαφέρουν. Ειδικά το κομμάτι του πόσο σταθερές πρέπει να είναι οι global που αποδίδει ένας πάροχος σε ένα τυπικό σενάριο σηκώνει πολύ συζήτηση. Στο πρόβλημά σου συγκεκριμένα, βλέπω τις εξής λύσεις :
1) Στατικό prefix. Το είχε αναφέρει κάποτε η forthnet, αλλά δε γνωρίζω αν το υλοποιεί τελικά και για το ipv6, υποθέτω θα μπορούσες να τους ρωτήσεις. Φαντάζομαι θα έχει κάποιο κόστος.
2) Εάν το υποστηρίζει ο εξοπλισμός σου, zone based filtering. Βάζεις όσα μηχανάκια θες να έχουν ίδια συμπεριφορά στην ίδια ζώνη/δίκτυο/vlan και χρησιμοποιείς source/destination zones πλέον για την πολιτική σου. Κάπως περίπλοκο για σπιτικό περιβάλλον, ειδικά αν έχεις πολλές διαφορετικές επιθυμητές συμπεριφορές.
3) Μεταφέρεις αυτό το κομμάτι ασφαλείας στους hosts. Πάλι περίπλοκο γιατί πλεόν απαιτείται *όλοι* οι internet-facing hosts να έχουν κάποιο υποτυπώδες firewall.
4) Συνδυασμός των 3 και 4 ( "ελεύθερες" ζώνες όπου το firewalling γίνεται στους hosts και ζώνες με stateful inspection για τις υπόλοιπες συσκευές ).
5)Υποθέτοντας ότι το address plan σου από το δίκτυο που παίρνεις από το prefix delegation προς το/τα εσωτερικά σου δίκτυα είναι προβλέψιμο, θα μπορούσες να φτιάξεις κάποιο script που να αναγνωρίζει την αλλαγή και να αλλάζει τους κανόνες στη δικτυακή υποδομή σου. Πάλι περίπλοκο για σπιτικό περιβάλλον.
6) NAT66 και στατικές ULA στους servers. Είναι ότι πιο κοντινό στην υφιστάμενη κατάσταση, αλλά δε θα βρεις router που να το κάνει εύκολα. Επίσης, χάνουμε πάλι το end-to-end connectivity...
Προσωπικά τείνω προς την πρώτη λύση, αν και ίσως σκεφτόμουν και την τελευταία.
Έχε στο νου σου ότι το παραπάνω δεν είναι το μοναδικό πρόβλημα από τη μη σταθερότητα των διευθύνσεων.In theory, practice is the same as theory.
In practice, it isn't.
-
18-04-17, 15:07 Απάντηση: IPv6 και firewalling: πρακτικές; #3
Α ρε θηρίο Holy
Στα 2-5 έχασα την μπάλα, πρέπει να διαβάσω τι εστί "zone based filtering" (έχω λιώσει λόγω του IPv6 ).
Δεν ξέρω αν έχει σημασία, αλλά το ρουτεράκι μου, ένα dual-stacked fritz 7270, έχει ούτως ή άλλως ένα SPI-based firewall (ipchains/iptables υποθέτω) σηκωμένο. Οπότε το firewalling γίνεται ήδη εκεί. Στο (1), νομίζω το έτρεχε με το πιλοτικό. Δε νομίζω ότι το δίνει πια.
Με βλέπω για το (6), το οποίο εν ήδη IPv6 δεν ταιριάζει όντως με την ατμόσφαιρα...
Το μόνο σίγουρο είναι ότι υπάρχει ένα μπάχαλο επιλογών, χωρίς να υπάρχει κάτι widely used. Αν θες να βγάλεις έναν server κτλ, τα πράγματα φαίνονται ψιλοχάλι για το μέσο Home user.
-
18-04-17, 15:13 Απάντηση: IPv6 και firewalling: πρακτικές; #4
Μια άλλη λύση είναι τα tokenised interface identifiers, εφόσον τα υποστηρίζουν οι hosts και το firewall σου. Ορίζεις δηλαδή από ένα στατικό επίθημα (suffix) που θα χρησιμοποιείται για τη δημιουργία της διεύθυνσης σε κάθε μηχάνημα. Στους κανόνες του firewall γράφεις αυτά τα επιθήματα και κάνεις φιλτράρισμα χωρίς να σε απασχολεί το πρόθεμα. Ένα παράδειγμα υπάρχει εδώ (Nightmare Difficulty: ip6tables suffix matching).
Τελευταία επεξεργασία από το μέλος Simpleton : 18-04-17 στις 15:22.
- Κάνετε τη δουλειά σας γρήγορα, αξιόπιστα, με ασφάλεια, χωρίς τεχνητούς περιορισμούς και δωρεάν με το Linux.
- Οι δίσκοι χαλάνε! Σκεφτείτε τα αρχεία σας πριν την πατήσετε. Κάνετε τακτικά backup.
-
18-04-17, 17:53 Απάντηση: IPv6 και firewalling: πρακτικές; #5
-
22-04-17, 23:04 Απάντηση: IPv6 και firewalling: πρακτικές; #6Δεν ξέρω αν έχει σημασία, αλλά το ρουτεράκι μου, ένα dual-stacked fritz 7270, έχει ούτως ή άλλως ένα SPI-based firewall (ipchains/iptables υποθέτω) σηκωμένο.
Στο (1), νομίζω το έτρεχε με το πιλοτικό. Δε νομίζω ότι το δίνει πια.
Στα 2-5 έχασα την μπάλα, πρέπει να διαβάσω τι εστί "zone based filtering" (έχω λιώσει λόγω του IPv6 ).
Ενδιαφέρον. Έχω δει αυτή την προσέγγιση σε enterprise routers, αλλά δεν γνώριζα ότι υλοποιείται και σε ip6tables/κτλ.
Κάπως of topic, αλλά τα σπιτικά router που δίνουν οι πάροχοι έχουν κανένα καλό firewalling interface (με ζώνες που έλεγε και ο holy λχ);In theory, practice is the same as theory.
In practice, it isn't.
-
28-04-17, 08:57 Απάντηση: IPv6 και firewalling: πρακτικές; #7
Τελικά το Fritz παρέχει τη δυνατότητα για filtering σε συγκεκριμένο Interface όχι προς ip, αλλά προς το interface id (MAC? ). Δεν το δοκίμασα να δω τι παίζει, αλλά υποθέτω ότι βαστάει το port mapping προφανώς, ακόμα και όταν αλλάζει το /56 δίκτυο.
Για τις βασικές δουλειές μια χαρά...
Παρόμοια Θέματα
-
Mikrotik IPv4/IPv6 firewall
Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 2111Τελευταίο Μήνυμα: 07-04-24, 09:51 -
adslgr.com: IPv6 enabled
Από NeK στο φόρουμ ΕιδήσειςΜηνύματα: 185Τελευταίο Μήνυμα: 17-11-19, 10:14 -
Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 493Τελευταίο Μήνυμα: 18-05-19, 17:35 -
Ρουτερ για 1Gbit συμμετρικο ιντερνετ με QoS και firewall
Από prince72 στο φόρουμ NetworkingΜηνύματα: 2Τελευταίο Μήνυμα: 27-03-17, 22:30 -
[Other] ΟΤΕ ZTE H108NS ipv6 firewall Ρυθμισεις
Από nameoftherose στο φόρουμ ADSL & Broadband Hardware, routers και modems...Μηνύματα: 1Τελευταίο Μήνυμα: 16-06-16, 20:21
Bookmarks