[Eisfair] eisfair und IPv6 - allgemein und DHCP/DNS/BIND?

[Kay Martinen]

Am 31.10.2019 um 20:44 schrieb Hendrik Orep:
> Hallo Kay,
> 
> Am 31.10.19 um 19:15 schrieb Kay Martinen:
>> Das ist ja so auch nicht ganz richtig. Ein PC mit einer Öffentlichen
>> IPv6 Adresse wird nur noch von seiner eigenen Firewall geschützt. Und
>> ggf. dem Umstand das auf ihm keine Dienste laufen die Ports öffnen die
>> an diese Global gültige Adresse gebunden sind.
> 
> Das ist für ein 08/15 Heimnetz schlichtweg falsch. Die gängigen dort
> verwendeten Router haben eine Firewall integriert, die keine Pakete
> durchlässt, welche nicht Antworten zu einer aus dem LAN initiierten
> Anfrage sind (Abruf einer Webseite per http z.B.).

Du meinst z.b. Bots die ihren C&C Server kontaktieren? Welche FW hält
das schon auf. Es mag ja sein das in Beiden Varianten nur Related
Verkehr durch geht. Ein Schutz ist das aber auch nicht wirklich.


> Wer also sein IPv6 alleine aus dem Grunde NATet, damit Rechner nicht
> ungeschützt aus dem Internet erreichbar sind, schafft sich damit
> lediglich zusätzliche Probleme, ohne jedoch sein eigentliches Problem
> wirklich zu lösen.

NAT6 ist wohl kaum der Normalfall. Und Ein Router der jede Ankommende
IPv6-Verbindung erst mal abblockt verhindert doch eigentlich auch
effektiv das der PC wirklich "im Internet" ist - falls es eine Bewußte
Entscheidung war auf ihm Dienste für die Öffentlichkeit an zu bieten.

Das ist natürlich ebenso wenig der Normalfall. Wie geht denn das bei
deiner Fritte. Kann man da die Blockierung ankommender Verbindungen zu
Intern für jeden Host getrennt aufheben oder nur Ausnahmen definieren?
Letzteres wäre dann wie bei IPv4 mit PortFw nur das kein NAT gebraucht wird.

Ein "Exposed Host" Feature finde ich da übrigens auch nicht vergleichbar
- wenn es nicht an einen Festen Port und Separates LAN-Segment (DMZ)
gebunden ist.

Kay

-- 
Sent via SN (Eisfair-1)