[Eisfair] eisfair und IPv6 - allgemein und DHCP/DNS/BIND?

Hendrik Orep hendrik.orep at mailbox.org
Do Okt 31 23:06:01 CET 2019 

Hallo Olaf,

Am 31.10.19 um 22:09 schrieb Olaf Jaehrling:
>> Wie soll denn ein Programm auf meinem PC einen Port in meiner Firewall
>> auf dem Router öffnen? (UPnP & NAT-PMP natürlich abgeschaltet.)
> 
> Ich bin mir nicht sicher wie die Fritz-Firewall arbeitet. Wenn es eine
> statefull Firewall ist, dann öffnet die einen Port wenn ein Programm
> meldet das dieser Port vom Programm benötigt wird (statefull packet
> inspection). 

Jain, wenn ein Programm ein Paket an einen Host im Internet schickt
(z.B. Aufruf einer Website, also https/tcp port 443), erlaubt die
Firewall Antwortpakete von von genau diesem Ziel mit genau diesem
Quell-Port an genau den Port, von dem die ursprüngliche Anfrage kam. Das
ist nichts anderes als bei NAT. Auch da kommen die Antwortpakete ja bei
meinem PC an.

Beispiel: ich möchte mit meinem PC https://www.eisfair.org aufrufen:

Mein PC (IP-Adresse 2001:db8::42) schickt zum Router (mit Firewall) ein
Paket von Port 36086 mit der Ziel-IP 2001:bf0:c000:a::2:132 an Port 443.
Der Router (mit Firewall) lässt dieses Paket durch, da es ja aus meinem
LAN kommt.
Der Server schickt meinem Router nun eine Antwort, also ein Paket von IP
2001:bf0:c000:a::2:132, Port 443 an die IP 2001:db8::42, Port 36086.
Weil alle Eigenschaften zu dem vorherigen ausgehenden Paket passen,
lässt der Router/die Firewall dieses Antwortpaket zu meinem Rechner im
LAN durch.
Wenn auch nur ein Parameter nicht übereinstimmt, also z.B. das Paket von
einer ganz anderen IP kommt, als die, an die ich meine Anfrage gestellt
hatte, verwirft die Firewall dieses Paket.
Das ist, wie du schon schriebst, statefull packet inspection.
Zu einer Desktop-Firewall auf einem PC im LAN kämen solche "bösen"
Pakete also gar nicht erst durch.

> Du schreibst immer von linux und BSD, vergisst aber das die meisten
> Windows als Dektop verwenden. Da ist die Einrichtung der Firewall
> bedeutend schwerer, weil nur klicki-bunti

Mit dem Linux/BSD meinte ich nur den Router/die Firewall, und da meine
ich dann auch nur Leute wie uns, die in ihren Netzen Server betreiben
und sich bewusst mit so etwas beschäftigen (wollen).
Für Otto Normaluser macht der Plasterouter i.d.R. schon alles was er
braucht.

Gruß
Hendrik

Mehr Informationen über die Mailingliste Eisfair