Hoofdcategorieën

[RSS] [quick] Forum » Internet & Netwerken » Netwerken » Het grote IPv6 topic

Topicacties

Het grote IPv6 topic

Pagina: 1 2 3 4 5 6 7 8 9 10 11 12 ... 21 22 23 24 last

Reageer Nieuw Topic

offline Geplaatst op woensdag 27 augustus 2008 21:12

Acties:

Door: Jap
Japje.nl
Berichten: 389
Reg. datum: 01 juni 2001
quote:
Skinkie schreef op woensdag 27 augustus 2008 @ 20:54:
[...]

En toch zou je willen voorkomen dat er uberhaupt bagger naar je toe komt als je er niet om hebt gevraagd. Ik ben dan ook best blij met de abuse policy van bijvoorbeeld SixXS.
Daar heb je gelijk in, zeker voor thuis verbindingen is een goed abuse beleid erg wenselijk. Zoals xs4all heeft bv.

Ik had het zelf meer over servers in DC's ed, daar vind ik het fijn als ik niet na hoef te denken over een eventuele NAT die raar loopt te spoken waardoor iets niet bereikbaar is of iets in die vorm :P

Wheheh he called you a padlarv... whats a padlarv... i dunno... why dont you know?.. i dont care.. why dont you care?.. i dunno!.....

offline Geplaatst op woensdag 27 augustus 2008 21:14

Acties:

Door: Osiris
Berichten: 40.214
Reg. datum: 22 januari 2000
quote:
_DH schreef op woensdag 27 augustus 2008 @ 21:07:
[...]

Firewall op je router?
Mwaahh, dan heb je weer hetzelfde "probleem" als met NAT: zeurende huisgenotes omdat hun MSN-filetransfers/cam-geslet/BitTorrent/weetikveel niet werkt en 1x raden wie die poorten dan allemaal open mag gooien in de router ;)

GPG Public Key: Haal 'm nu binnen via wwwkeys.eu.pgp.net of van m'n eigen site.

offline Geplaatst op woensdag 27 augustus 2008 21:25

Acties:

Door: BarthezZ
anti voetbal en slechte djs!
Berichten: 1.208
Reg. datum: 31 juli 2004
Voor bovenstaande probleem is ipv6 calc uitgevonden.
bart@bartpc:~$ ipv6calc  2001:960:7c1:0:204:61ff:fe79:6653 --out revnibbles.arpa
No input type specified, try autodetection...found type: ipv6addr
3.5.6.6.9.7.e.f.f.f.1.6.4.0.2.0.0.0.0.0.1.c.7.0.0.6.9.0.1.0.0.2.ip6.arpa.


maar ipv6 calc kan meer... * BarthezZ slapt Osiris :D

BarthezZ wijzigde dit bericht 28-08-2008 01:04 (6%)

 

offline Geplaatst op woensdag 27 augustus 2008 21:29

Acties:

Door: Osiris
Berichten: 40.214
Reg. datum: 22 januari 2000
Wel handig, maar `dig -x <adres>` is korter typen B)

GPG Public Key: Haal 'm nu binnen via wwwkeys.eu.pgp.net of van m'n eigen site.

offline Geplaatst op donderdag 28 augustus 2008 08:21

Acties:

Door: Whizzer
Flappie!
Berichten: 1.143
Reg. datum: 21 november 2000
Ik moet zeggen dat ik erg content ben met de Cisco IOS Firewall Feature set (dus ook voor IPv6) op mijn routertje.

Ik ben geweldig.. en bescheiden!
CCNP / CCDP / CCSE / CEH / JNCIS-FWV / CCIE Security

online Geplaatst op donderdag 28 augustus 2008 08:28

Acties:

Door: TrailBlazer
Sigur Ros FTW
Berichten: 16.212
Reg. datum: 13 oktober 2000
ip6tables werkt overigens net zo goed als iptables voor IPv4. De enige andere mindset is is dat je geen nat rules meer hebt.

CCSP/CCIP/CCIE #21235
Vroeger was alles beter en kon je uit de sloot drinken...
vroeger ging je dood op je 40e

offline Geplaatst op donderdag 28 augustus 2008 09:23

Acties:

Door: Osiris
Berichten: 40.214
Reg. datum: 22 januari 2000
Wat ik dan weer een beetje maf vind, want hoewel het misschien niet nodig is, zou je toch wel verwachten dat het technisch op z'n minst mogelijk zou moeten zijn?

GPG Public Key: Haal 'm nu binnen via wwwkeys.eu.pgp.net of van m'n eigen site.

online Geplaatst op donderdag 28 augustus 2008 09:38

Acties:

Door: TrailBlazer
Sigur Ros FTW
Berichten: 16.212
Reg. datum: 13 oktober 2000
Het zal technisch wel mogelijk zijn alleen er zijn maar weinig redenenen om het te doen. De enige reden die ik kan bedenken is dat als je twee bedrijven aan elkaar wil koppelen is dat jij geen ip space van de ander in jouw routingtables wil hebben. Dat is de reden dat wij vaak 1 op 1 natten ook al zijn het beide private ip spaces.

CCSP/CCIP/CCIE #21235
Vroeger was alles beter en kon je uit de sloot drinken...
vroeger ging je dood op je 40e

offline Geplaatst op donderdag 28 augustus 2008 14:03

Acties:

Door: Raven
Marion Raven fan
Berichten: 9.011
Reg. datum: 06 november 2004
quote:
Osiris schreef op woensdag 27 augustus 2008 @ 21:14:
[...]

Mwaahh, dan heb je weer hetzelfde "probleem" als met NAT: zeurende huisgenotes omdat hun MSN-filetransfers/cam-geslet/BitTorrent/weetikveel niet werkt en 1x raden wie die poorten dan allemaal open mag gooien in de router ;)
UPnP :?

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Marion2U

online Geplaatst op donderdag 28 augustus 2008 17:06

Acties:

Door: TrailBlazer
Sigur Ros FTW
Berichten: 16.212
Reg. datum: 13 oktober 2000
NAT is gewoon gezeur met allemaal protocollen die het ip adres in de payload zetten. NAT zou werken als het bedacht was tijdens de ontwikkeling van IPv4. Dat is het niet dus geprut.

CCSP/CCIP/CCIE #21235
Vroeger was alles beter en kon je uit de sloot drinken...
vroeger ging je dood op je 40e

online Geplaatst op donderdag 28 augustus 2008 18:05

Acties:

Door: TrailBlazer
Sigur Ros FTW
Berichten: 16.212
Reg. datum: 13 oktober 2000
quote:
Osiris schreef op woensdag 27 augustus 2008 @ 21:08:
[...]

Gewoon in iptables je INPUT-chain dichtgooien met uitzondering van `RELATED` en `ESTABLISHED`-states? En uiteraard de diverse multicast-adressen. :P
Mijn scriptje voor ip6tables
code:
1
2
3
4
5
6
7
8
9
10
11
12

$IP6TABLES -t filter -P INPUT ACCEPT
$IP6TABLES -t filter -F INPUT
$IP6TABLES -t filter -A INPUT -i sixxs -m state  --state ESTABLISHED,RELATED -j ACCEPT
$IP6TABLES -t filter -A INPUT -i sixxs -j DROP

$IP6TABLES -t filter -P OUTPUT ACCEPT
$IP6TABLES -t filter -F OUTPUT

$IP6TABLES -t filter -P FORWARD DROP
$IP6TABLES -t filter -F FORWARD
$IP6TABLES -t filter -A FORWARD -i sixxs -m state --state ESTABLISHED,RELATED -j ACCEPT
$IP6TABLES -t filter -A FORWARD -i ! sixxs -j ACCEPT

Er mogen geen sessies naar de firewall of machines achter de firewall geïnitieerd worden.

CCSP/CCIP/CCIE #21235
Vroeger was alles beter en kon je uit de sloot drinken...
vroeger ging je dood op je 40e

offline Geplaatst op donderdag 28 augustus 2008 19:12

Acties:

Door: Osiris
Berichten: 40.214
Reg. datum: 22 januari 2000
quote:
Raven schreef op donderdag 28 augustus 2008 @ 14:03:
[...]

UPnP :?
Ja leuk dat uPnP, maar praktisch 't enige wat je d'r over leest zijn beveiligingsrisico's. Liever niet dus.
quote:
TrailBlazer schreef op donderdag 28 augustus 2008 @ 17:06:
NAT is gewoon gezeur met allemaal protocollen die het ip adres in de payload zetten. NAT zou werken als het bedacht was tijdens de ontwikkeling van IPv4. Dat is het niet dus geprut.
D'r wordt bij NAT toch geen extra overhead aan 't pakketje vastgeplakt? Alleen wat veranderd. Maar je hebt wel gelijk dat 't in principe niet nodig is nee.

GPG Public Key: Haal 'm nu binnen via wwwkeys.eu.pgp.net of van m'n eigen site.

online Geplaatst op donderdag 28 augustus 2008 19:31

Acties:

Door: TrailBlazer
Sigur Ros FTW
Berichten: 16.212
Reg. datum: 13 oktober 2000
alleen source en/of destination wordt veranderd, soms heb je een protocol (zoals IPSec/ISAKMP afaik) wat het destiantion ip adres ook ergens in de data zet. Dan gaat het dus mis omdat de ontvangende computer dan een pakket binnen krijgt met een ip adres in de payload wat niet bij hem hoor.
Dus je krijgt een brief geadresseerd aan Osiris maar de aanhef van de brief is beste Gert-Jan dan heb he dus ook zoiets van huh??

CCSP/CCIP/CCIE #21235
Vroeger was alles beter en kon je uit de sloot drinken...
vroeger ging je dood op je 40e

online Geplaatst op donderdag 28 augustus 2008 23:25

Acties:

Door: CyBeR
Paarse Layout \o/
Berichten: 17.759
Reg. datum: 01 september 2001
quote:
Skinkie schreef op woensdag 27 augustus 2008 @ 20:54:
[...]

En toch zou je willen voorkomen dat er uberhaupt bagger naar je toe komt als je er niet om hebt gevraagd. Ik ben dan ook best blij met de abuse policy van bijvoorbeeld SixXS.
Dat gebeurt ook een stuk minder. Ik zeg niet dat je geen firewalls meer nodig hebt, maar 't is een stuk minder boeiend bij IPv6. Waarom? De grootte van de address space.

Op dit moment komt de random bagger op je internetverbinding naar je toe omdat 't vrij simpel is om, desnoods gewoon sequentieel, crap naar willekeurige IP-adressen te sturen. Typ een klasse A, B of C adres in en d'r is een vrij grote kans dat 't bestaat en dat er een computer achter hangt. Een 32-bits address space is nu eenmaal gewoon klein.

Probeer hetzelfde eens met een IPv6 adres. En denk er eens over na hoe lang 't duurt om dat sequentieel te scannen. Geloof me, de 'ruis' op je internetverbinding wordt een stuk minder als we IPv4 afschaffen.

Overigens valt dat 'beveiligingsrisico' van UPnP wel mee. Het punt is dat je er poorten mee open kunt zetten: dat is het hele risico.

CyBeR wijzigde dit bericht 28-08-2008 23:46 (6%)

All my posts are provided as-is. They come with NO WARRANTY at all.

offline Geplaatst op donderdag 28 augustus 2008 23:32

Acties:

Door: Raven
Marion Raven fan
Berichten: 9.011
Reg. datum: 06 november 2004
quote:
Osiris schreef op donderdag 28 augustus 2008 @ 19:12:
[...]

Ja leuk dat uPnP, maar praktisch 't enige wat je d'r over leest zijn beveiligingsrisico's. Liever niet dus.
't is dat of een shitload aan poorten open zetten om WLM werkend te krijgen :P

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Marion2U

offline Geplaatst op vrijdag 29 augustus 2008 02:09

Acties:

Door: Skinkie
Op naar de 500 
Berichten: 2.209
Reg. datum: 19 juni 2001
quote:
CyBeR schreef op donderdag 28 augustus 2008 @ 23:25:
Dat gebeurt ook een stuk minder. Ik zeg niet dat je geen firewalls meer nodig hebt, maar 't is een stuk minder boeiend bij IPv6. Waarom? De grootte van de address space.
En ook het aantal ips wat je kunt gebruiken om een aantal vanaf te starten...

Steun Elkaar, Kopieer Nederlands Waar!

offline Geplaatst op vrijdag 29 augustus 2008 03:13

Acties:

Door: Boeboe
ossu!
Berichten: 6.635
Reg. datum: 02 november 2002
Er zal toch nog echt wel een pc aan dat "aantal ips" moeten hangen hoor. Of zie jij een hacker/scriptkiddie al miljarden computers in bezit nemen om zo een groot mogelijk bereik te scannen?

boe2.be - Boeboe naar Japan - xbox360 gamercard

online Geplaatst op vrijdag 29 augustus 2008 08:09

Acties:

Door: TrailBlazer
Sigur Ros FTW
Berichten: 16.212
Reg. datum: 13 oktober 2000
PC's zullen minder kans hebben om gevonden te worden. Publieke services moeten nog steeds achter een firewall omdat die wel wel bekend zijn bij de scriptkiddies.

CCSP/CCIP/CCIE #21235
Vroeger was alles beter en kon je uit de sloot drinken...
vroeger ging je dood op je 40e

offline Geplaatst op vrijdag 29 augustus 2008 08:11

Acties:

Door: Whizzer
Flappie!
Berichten: 1.143
Reg. datum: 21 november 2000
quote:
TrailBlazer schreef op donderdag 28 augustus 2008 @ 19:31:
alleen source en/of destination wordt veranderd, soms heb je een protocol (zoals IPSec/ISAKMP afaik) wat het destiantion ip adres ook ergens in de data zet. Dan gaat het dus mis omdat de ontvangende computer dan een pakket binnen krijgt met een ip adres in de payload wat niet bij hem hoor.
Dus je krijgt een brief geadresseerd aan Osiris maar de aanhef van de brief is beste Gert-Jan dan heb he dus ook zoiets van huh??
Probleem meer bij dit soort pakketten is dat juist het source adres in het pakket wordt meegenomen en als je dan gaat NAT'en (of PAT), juist de afzender verkeerd is. Dus op een brief in de envelop van Trailblazer staat "Groeten Whizzer".

Daarbij wordt bij IPSec met AH een hash toegevoegd door de source, welke gegenereerd wordt over het pakket incl. header (met daarin source en destination IP adres). Ga je naderhand NAT'en, dan klopt je hash niet meer en wordt het pakket gedropt.

SNMP is ook zo'n leuke die wel eens het source ip adres in de trap zet. Krijg je na NAT een melding van "10.10.10.10" dat 192.168.0.1 een hoge CPU load heeft...

Ik ben geweldig.. en bescheiden!
CCNP / CCDP / CCSE / CEH / JNCIS-FWV / CCIE Security

offline Geplaatst op vrijdag 29 augustus 2008 08:27

Acties:

Door: Keiichi
Berichten: 1.394
Reg. datum: 23 juni 2005
Ik heb al een aantal jaar via de tunnelbroker van xs4all een tunnel.

Op een server van mij heb ik deze tunnel opgezet waar ik voor me eigen het /48 block in /64 blokken onderverdeel en zo ook beetje me eigen tunnelbroker speel :*)
 

offline Geplaatst op maandag 01 september 2008 06:11

Acties:

Door: Skinkie
Op naar de 500 
Berichten: 2.209
Reg. datum: 19 juni 2001
En op momenten zoals deze is het toch jammer dat sixxs down is...

Steun Elkaar, Kopieer Nederlands Waar!

offline Geplaatst op maandag 01 september 2008 08:42

Acties:

Door: Boboga
Kiekeboe
Berichten: 455
Reg. datum: 10 oktober 2001
Hmmh inderdaad, nog steeds.. Was gistermiddag/avond al niet meer bereikbaar.

Iemand enig idee wat er mis is? :)

Zoek je werk in de IT in a'dam? PM me!
Black-Smoke Maine-Coon ASCII

offline Geplaatst op maandag 01 september 2008 10:07

Acties:

Door: avatar
peace, love & linux
Berichten: 244
Reg. datum: 15 juni 1999
quote:
Boboga schreef op maandag 01 september 2008 @ 08:42:
Hmmh inderdaad, nog steeds.. Was gistermiddag/avond al niet meer bereikbaar.

Iemand enig idee wat er mis is? :)
Van #sixxs.net op ircnet
code:
1
2
3
4
5
6
7
8
9
10
11
12

09:26 < Falconix> ahh great sixxs.net is running again
09:32 < darkhawk> true
09:33 < darkhawk> it was down for about 2 days
09:37 < mjl-> yeah, great to see it's running again!
09:38 < mjl-> btw, i had the idea static tunnels still worked?
09:39 < madduck> everything worked
09:39 < madduck> including ayiya tunnels
09:39 < madduck> they couldn't be set up though
09:39 < madduck> tic.sixxs.net was down
09:40 < mjl-> ah, check
09:40 < mjl-> well, and the website?
09:40 < madduck> yes, same machines i think

 

offline Geplaatst op maandag 01 september 2008 14:37

Acties:

Door: Skinkie
Op naar de 500 
Berichten: 2.209
Reg. datum: 19 juni 2001
Inderdaad, ik merkte het ook pas bij een VM reboot.

Steun Elkaar, Kopieer Nederlands Waar!

offline Geplaatst op dinsdag 02 september 2008 09:24

Acties:

Door: tweakernick
Berichten: 2.614
Reg. datum: 15 oktober 2003
Yes, draait weer stabiel zo :)

specs

Lees verder »

Pagina: 1 2 3 4 5 6 7 8 9 10 11 12 ... 21 22 23 24 last

VNU Media logo Hosted by True

© 1998 - 2010 Tweakers.net - Alle rechten voorbehouden - Uw Privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2009