Εμφάνιση 1-7 από 7
  1. #1
    Εγγραφή
    17-07-2003
    Περιοχή
    Κατερίνη
    Μηνύματα
    2.850
    Downloads
    12
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    96924/10996
    ISP
    Forthnet
    DSLAM
    Forthnet - ΚΑΤΕΡΙΝΗ
    Router
    AVM Fritz 7530
    SNR / Attn
    5(dB) / 18(dB)
    Path Level
    Fastpath
    Έχω αρχίσει τους πρώτους μου πειραματισμούς σε IPv6 (έχω Forthnet). Ενδιαφέροντα πράγματα, ειδικά βλέποντας τις διαφορετικές δρομολογήσεις που βλέπει κανείς προς εξωτερικό. Καλύτερα traces γενικότερα σε συνδυασμό με ταχύτερο (έτσι λένε στα χαρτιά) Packet processing λόγω του end to end checksumming. Αν έχω καταλάβει καλά.

    Τέσπα, άνοιξα το thread για άλλους λόγους. Στο κλασσικό IP, αν θέλω να "βγάλω" κάποιες πόρτες (λ.χ. ένα SSH) έκανα ένα port mapping προς την στατική ψευδοip που έχω σετάρει τον SSH Server. Δουλειά με το NAT. Αλλά και public IPs να έχει όλο το δίκτυο, η ιστορία είναι ίδια, σετάρεις την IP και εκεί κάνεις έναν firewall rule για να αφήνει την εισερχόμενη κίνηση.

    Σε αυτήν την περίπτωση φαντάζομαι είναι κανείς και με το IPv6, με τη διαφορά ότι σταντέ παίρνεις public IPs εσωτερικά. Τα οποία όμως, αν έχω καταλάβει σωστά αλλάζουν. Σόρρυ, αλλά είμαι και εγώ αρκετά μπερδεμένος: για το ίδιο interface δεκαπέντε ειδών διευθύνσεις. Για την ίδια δουλειά (απόδοση internal IP) 3 τρόποι (SLAAC, stateless/statefull DHCP). Έχω χάσει την μπάλλα λέμε

    Για να μη σας μπερδεύω, ποια είναι η βέλτιστη πρακτική για να αφήνω κίνηση προς εισερχόμενα servers μου. Πως επιλέγω τις IP για τα εσωτερικά μηχανήματα, όταν αυτές ναι μεν είναι public αλλά αλλάζουν. Τι κάνετε εσείς;

  2. #2
    Εγγραφή
    18-08-2003
    Περιοχή
    3491
    Μηνύματα
    5.137
    Downloads
    19
    Uploads
    0
    Ταχύτητα
    16000/800
    ISP
    Conn-x OTE/Otenet
    DSLAM
    ΟΤΕ - ΑΡΗΣ
    Router
    C876
    SNR / Attn
    9(dB) / 8(dB)
    Path Level
    Fastpath
    Καλησπέρα

    Δεν είναι περίεργο που έχεις χάσει τη μπάλα καθώς είναι αρκετά διαφορετικό ζώο από το ipv4, ενώ οι υλοποιήσεις διαφέρουν. Ειδικά το κομμάτι του πόσο σταθερές πρέπει να είναι οι global που αποδίδει ένας πάροχος σε ένα τυπικό σενάριο σηκώνει πολύ συζήτηση. Στο πρόβλημά σου συγκεκριμένα, βλέπω τις εξής λύσεις :

    1) Στατικό prefix. Το είχε αναφέρει κάποτε η forthnet, αλλά δε γνωρίζω αν το υλοποιεί τελικά και για το ipv6, υποθέτω θα μπορούσες να τους ρωτήσεις. Φαντάζομαι θα έχει κάποιο κόστος.
    2) Εάν το υποστηρίζει ο εξοπλισμός σου, zone based filtering. Βάζεις όσα μηχανάκια θες να έχουν ίδια συμπεριφορά στην ίδια ζώνη/δίκτυο/vlan και χρησιμοποιείς source/destination zones πλέον για την πολιτική σου. Κάπως περίπλοκο για σπιτικό περιβάλλον, ειδικά αν έχεις πολλές διαφορετικές επιθυμητές συμπεριφορές.
    3) Μεταφέρεις αυτό το κομμάτι ασφαλείας στους hosts. Πάλι περίπλοκο γιατί πλεόν απαιτείται *όλοι* οι internet-facing hosts να έχουν κάποιο υποτυπώδες firewall.
    4) Συνδυασμός των 3 και 4 ( "ελεύθερες" ζώνες όπου το firewalling γίνεται στους hosts και ζώνες με stateful inspection για τις υπόλοιπες συσκευές ).
    5)Υποθέτοντας ότι το address plan σου από το δίκτυο που παίρνεις από το prefix delegation προς το/τα εσωτερικά σου δίκτυα είναι προβλέψιμο, θα μπορούσες να φτιάξεις κάποιο script που να αναγνωρίζει την αλλαγή και να αλλάζει τους κανόνες στη δικτυακή υποδομή σου. Πάλι περίπλοκο για σπιτικό περιβάλλον.
    6) NAT66 και στατικές ULA στους servers. Είναι ότι πιο κοντινό στην υφιστάμενη κατάσταση, αλλά δε θα βρεις router που να το κάνει εύκολα. Επίσης, χάνουμε πάλι το end-to-end connectivity...

    Προσωπικά τείνω προς την πρώτη λύση, αν και ίσως σκεφτόμουν και την τελευταία.

    Έχε στο νου σου ότι το παραπάνω δεν είναι το μοναδικό πρόβλημα από τη μη σταθερότητα των διευθύνσεων.
    In theory, practice is the same as theory.
    In practice, it isn't.

  3. #3
    Εγγραφή
    17-07-2003
    Περιοχή
    Κατερίνη
    Μηνύματα
    2.850
    Downloads
    12
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    96924/10996
    ISP
    Forthnet
    DSLAM
    Forthnet - ΚΑΤΕΡΙΝΗ
    Router
    AVM Fritz 7530
    SNR / Attn
    5(dB) / 18(dB)
    Path Level
    Fastpath
    Α ρε θηρίο Holy

    Στα 2-5 έχασα την μπάλα, πρέπει να διαβάσω τι εστί "zone based filtering" (έχω λιώσει λόγω του IPv6 ).

    Δεν ξέρω αν έχει σημασία, αλλά το ρουτεράκι μου, ένα dual-stacked fritz 7270, έχει ούτως ή άλλως ένα SPI-based firewall (ipchains/iptables υποθέτω) σηκωμένο. Οπότε το firewalling γίνεται ήδη εκεί. Στο (1), νομίζω το έτρεχε με το πιλοτικό. Δε νομίζω ότι το δίνει πια.

    Με βλέπω για το (6), το οποίο εν ήδη IPv6 δεν ταιριάζει όντως με την ατμόσφαιρα...

    Το μόνο σίγουρο είναι ότι υπάρχει ένα μπάχαλο επιλογών, χωρίς να υπάρχει κάτι widely used. Αν θες να βγάλεις έναν server κτλ, τα πράγματα φαίνονται ψιλοχάλι για το μέσο Home user.

  4. #4
    Εγγραφή
    21-03-2008
    Ηλικία
    36
    Μηνύματα
    9.886
    Downloads
    8
    Uploads
    2
    Τύπος
    VDSL2
    Ταχύτητα
    51200/5120
    ISP
    Nova
    Router
    VMG8623-T50B & Debian
    Μια άλλη λύση είναι τα tokenised interface identifiers, εφόσον τα υποστηρίζουν οι hosts και το firewall σου. Ορίζεις δηλαδή από ένα στατικό επίθημα (suffix) που θα χρησιμοποιείται για τη δημιουργία της διεύθυνσης σε κάθε μηχάνημα. Στους κανόνες του firewall γράφεις αυτά τα επιθήματα και κάνεις φιλτράρισμα χωρίς να σε απασχολεί το πρόθεμα. Ένα παράδειγμα υπάρχει εδώ (Nightmare Difficulty: ip6tables suffix matching).
    Τελευταία επεξεργασία από το μέλος Simpleton : 18-04-17 στις 15:22.
    - Κάνετε τη δουλειά σας γρήγορα, αξιόπιστα, με ασφάλεια, χωρίς τεχνητούς περιορισμούς και δωρεάν με το Linux.
    - Οι δίσκοι χαλάνε! Σκεφτείτε τα αρχεία σας πριν την πατήσετε. Κάνετε τακτικά backup.

  5. #5
    Εγγραφή
    17-07-2003
    Περιοχή
    Κατερίνη
    Μηνύματα
    2.850
    Downloads
    12
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    96924/10996
    ISP
    Forthnet
    DSLAM
    Forthnet - ΚΑΤΕΡΙΝΗ
    Router
    AVM Fritz 7530
    SNR / Attn
    5(dB) / 18(dB)
    Path Level
    Fastpath
    Παράθεση Αρχικό μήνυμα από Simpleton Εμφάνιση μηνυμάτων
    Μια άλλη λύση είναι τα tokenised interface identifiers, εφόσον τα υποστηρίζουν οι hosts και το firewall σου. Ορίζεις δηλαδή από ένα στατικό επίθημα (suffix) που θα χρησιμοποιείται για τη δημιουργία της διεύθυνσης σε κάθε μηχάνημα. Στους κανόνες του firewall γράφεις αυτά τα επιθήματα και κάνεις φιλτράρισμα χωρίς να σε απασχολεί το πρόθεμα. Ένα παράδειγμα υπάρχει εδώ (Nightmare Difficulty: ip6tables suffix matching).
    Ναι, το κακό είναι ότι θες ευελιξία command line & iptables. Όμως είναι κομψή λύση κατά τα άλλα.

    Κάπως of topic, αλλά τα σπιτικά router που δίνουν οι πάροχοι έχουν κανένα καλό firewalling interface (με ζώνες που έλεγε και ο holy λχ);

  6. #6
    Εγγραφή
    18-08-2003
    Περιοχή
    3491
    Μηνύματα
    5.137
    Downloads
    19
    Uploads
    0
    Ταχύτητα
    16000/800
    ISP
    Conn-x OTE/Otenet
    DSLAM
    ΟΤΕ - ΑΡΗΣ
    Router
    C876
    SNR / Attn
    9(dB) / 8(dB)
    Path Level
    Fastpath
    Δεν ξέρω αν έχει σημασία, αλλά το ρουτεράκι μου, ένα dual-stacked fritz 7270, έχει ούτως ή άλλως ένα SPI-based firewall (ipchains/iptables υποθέτω) σηκωμένο.
    Δε γνωρίζω συγκεκριμένα τι υποστηρίζει το 7270, αλλά δεν έχει πάρει το μάτι μου τίποτα ιδιαίτερο στο συγκεκριμένο θέμα σε οικιακά routers.

    Στο (1), νομίζω το έτρεχε με το πιλοτικό. Δε νομίζω ότι το δίνει πια.
    Θα μου έκανε εντύπωση αν δίνουν δυναμικό prefix σε πελάτες με static ip.

    Στα 2-5 έχασα την μπάλα, πρέπει να διαβάσω τι εστί "zone based filtering" (έχω λιώσει λόγω του IPv6 ).
    Ουσιαστικά φτιάχνεις ομάδες από interfaces και ορίζεις πολιτικές ανάλογα με την ομάδα στην οποία ο router λαμβάνει το πακέτο και την ομάδα από την οποία το στέλνει.

    Παράθεση Αρχικό μήνυμα από Simpleton Εμφάνιση μηνυμάτων
    Μια άλλη λύση είναι τα tokenised interface identifiers, εφόσον τα υποστηρίζουν οι hosts και το firewall σου. Ορίζεις δηλαδή από ένα στατικό επίθημα (suffix) που θα χρησιμοποιείται για τη δημιουργία της διεύθυνσης σε κάθε μηχάνημα. Στους κανόνες του firewall γράφεις αυτά τα επιθήματα και κάνεις φιλτράρισμα χωρίς να σε απασχολεί το πρόθεμα. Ένα παράδειγμα υπάρχει εδώ (Nightmare Difficulty: ip6tables suffix matching).
    Ενδιαφέρον. Έχω δει αυτή την προσέγγιση σε enterprise routers, αλλά δεν γνώριζα ότι υλοποιείται και σε ip6tables/κτλ.

    Κάπως of topic, αλλά τα σπιτικά router που δίνουν οι πάροχοι έχουν κανένα καλό firewalling interface (με ζώνες που έλεγε και ο holy λχ);
    Ότι έχω δει τώρα έχει μόνο απλό spi.
    In theory, practice is the same as theory.
    In practice, it isn't.

  7. #7
    Εγγραφή
    17-07-2003
    Περιοχή
    Κατερίνη
    Μηνύματα
    2.850
    Downloads
    12
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    96924/10996
    ISP
    Forthnet
    DSLAM
    Forthnet - ΚΑΤΕΡΙΝΗ
    Router
    AVM Fritz 7530
    SNR / Attn
    5(dB) / 18(dB)
    Path Level
    Fastpath
    Τελικά το Fritz παρέχει τη δυνατότητα για filtering σε συγκεκριμένο Interface όχι προς ip, αλλά προς το interface id (MAC? ). Δεν το δοκίμασα να δω τι παίζει, αλλά υποθέτω ότι βαστάει το port mapping προφανώς, ακόμα και όταν αλλάζει το /56 δίκτυο.

    Για τις βασικές δουλειές μια χαρά...

Παρόμοια Θέματα

  1. Mikrotik IPv4/IPv6 firewall
    Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDs
    Μηνύματα: 2109
    Τελευταίο Μήνυμα: 14-03-24, 17:42
  2. adslgr.com: IPv6 enabled
    Από NeK στο φόρουμ Ειδήσεις
    Μηνύματα: 185
    Τελευταίο Μήνυμα: 17-11-19, 10:14
  3. Μηνύματα: 493
    Τελευταίο Μήνυμα: 18-05-19, 17:35
  4. Μηνύματα: 2
    Τελευταίο Μήνυμα: 27-03-17, 22:30
  5. [Other] ΟΤΕ ZTE H108NS ipv6 firewall Ρυθμισεις
    Από nameoftherose στο φόρουμ ADSL & Broadband Hardware, routers και modems...
    Μηνύματα: 1
    Τελευταίο Μήνυμα: 16-06-16, 20:21

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας