ipv6/openwert : Is een incoming firewall nodig? - Netwerken

dinsdag 21 mei 2013 13:27

Acties:

1. Controleer de kabel!

Topicstarter

Ik lees vandaag in het xms topic dat XMS "weer" ipv6 ondersteund. Ik weet ook dat mijn router het ondersteund.

Een eerste kleine check geeft aan de de WAN6 (voor ipv6?) van mijn router (nog) niet draait. Aangezien tzt de boel toch (ook) op ipv6 moet draaien wil ik me toch wat inlezen.

Stap 1... veiligheid: ik wil niet dat opeens mijn netwerk open staat omdat ik ipv6 gebruik.

http://wiki.openwrt.org/doc/howto/ipv6#packet.filter

Warning No1: There is no NAT in IPv6. While NAT was never intended as a security feature, it did nonetheless serve as one, because unless you specified portforwardings the ports were unavailable. However, the same level of security can be achieved by setting the policies to DROP and inserting -j ACCEPT -m conntrack –ctstate ESTABLISHED,RELATED at the beginning of the chains.

Lijkt me relevant voor mij.... Echter hoe hoe je bovenstaande moet doen weet ik niet, Hoe moet ik dit doen op mijn 1043 router met "OpenWrt Barrier Breaker r36095 / LuCI Trunk (trunk+svn9768)"

Stap 2. test.
Stap 3 evt meerwaarde ipv6 vinden.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

dinsdag 21 mei 2013 15:34

Acties:

webfreakz.nl

el-nul-zet-é-er

> Is een incoming firewall nodig?

Ja.

Er zijn zat IPtables voorbeelden te vinden als je zoekt met Google. Een hele primitieve zou zijn (op INPUT chain)

1) Allow: ESTABLISHED, RELATED
2) Drop rest.

[ Voor 4% gewijzigd door webfreakz.nl op 21-05-2013 15:35 ]

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!

dinsdag 21 mei 2013 15:36

Acties:

Ultraman

Moderator Harde Waren

Boefje

Iemand met OpenWRT trunk schaar ik toch wel onder de power users dus wat dat betreft: lezen en kijken!

Ik gebruik al langere tijd IPv6, weliswaar niet met een trunk build, maar met OpenWRT 12.09 Attitude Adjustment en daarvoor met Backfire.

Om je vragen te beantwoorden:
1. Veiligheid: OpenWRT past standaard iptables en ip6tables toe. Laatstgenoemde voor IPv6.
De default daarvan is wat je er van zou verwachten: blokkeert alle verkeer behalve gerelateerde verbindingen en benodigd ICMP verkeer (niet blokkeren!).
Dus zoals je dat van IPv4 met NAT gewend bent.
Machines in je eigen netwerk met IPv6 (met dus een publiek IP) zijn niet te bereiken van buiten tenzij je een gaatje prikt in de firewall. De machines in je netwerk zijn wel pingbaar van buiten, maar veel meer niet.
De machines en services die ik niet van buitenaf beschikbaar stel kunnen anderen dus niet bereiken.

De configuratie kun je in LuCI trouwens prima bekijken dus ik zou zeggen: werp er eens een blik op om te zien of hij goed staat. Of dat je wellicht een oude configuratie file wilt vervangen voor de huidige defaults.

2. Test (en configuratie?), de IPv6 configuratie is voor trunk aardig op de schop gegaan de afgelopen maanden. Zo te zien heb jij al een "WAN6". Hoe dat te configureren staat beschreven op wiki, fora en waarschijnlijk ook blogs. Zelf weet ik het wel op AA maar trunk is dus iets anders.

3. Meerwaarde? Publieke IP adressen voor je machines.

Geen port forwards meer nodig, dus netwerk configuratie wordt makkelijker want je hoeft enkel nog de firewall aan te raken.
Als je een domein hebt kun je voor elke machine een subdomein configureren. Ik heb zo een aantal DNS entries met <hostname>.sjoosten.nl.
Ik heb meerdere machines die over SSH te benaderen zijn. Daarvoor hoef ik nu geen verschillende poortnummers te onthouden maar kan ik ze allemaal op dezelfde poort zetten omdat ze een ander IP hebben, welke weer gekoppeld is aan een DNS entry

[ Voor 8% gewijzigd door Ultraman op 21-05-2013 15:41 ]

Als je stil blijft staan, komt de hoek wel naar jou toe.