IPv6 Host in Firewall unabhängig vom Präfix freigeben

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
markus.donath
Beiträge: 3
Registriert: 13 Apr 2020, 12:14

IPv6 Host in Firewall unabhängig vom Präfix freigeben

Beitrag von markus.donath »

Ist es möglich, einen IPv6 Host in Firewall unabhängig vom Präfix freizugeben? Oder eine Freigabe der MAC-Adresse?
Wie müsste man ein solches Station-Objekt anlegen?
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: IPv6 Host in Firewall unabhängig vom Präfix freigeben

Beitrag von 5624 »

Wenn der DHCP-Server aktiv ist, kann man es darüber machen. Wenn der DHCP-Server einen Hostname anzeigt, kann man diesen auch in der IPv6-Firewall nutzen.

https://www.lancom-systems.de/docs/LCOS ... jects.html => Lokale Station

Ich hab es letztens über einen Host-Identifier gemacht, da gibt man nur den "internen" Teil der IP-Adresse ein. Läuft bei mir aber auch in Verbindung mit dem DHCP-Server. Prefix wird vom Provider bezogen und im DHCP-Server steht eine Reservierung mit dem Hostanteil der IP-Adresse und der Info "Prefix beziehen von Provider"
hostident.PNG
dhcpreservierung.PNG
In der Reservierung ist noch eine 1 mehr mit drin, da sonst bei mir eine Adresse aus einem anderen Subnetz verwendet wird. INTRANET ist Subnetz 1, also eine 1 mehr.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
LCS NC/WLAN
markus.donath
Beiträge: 3
Registriert: 13 Apr 2020, 12:14

Re: IPv6 Host in Firewall unabhängig vom Präfix freigeben

Beitrag von markus.donath »

Leider benötige ich den Eintrag für einen externen Host. Dieser soll dann z.B. ssh-Verbindungen zu Hosts im LAN herstellen dürfen.
Ich kann so ein Objekt auch anlegen:

Type: host identifier
Address: ::aaaa:bbff:fecc:dddd

Aber die Firewall lässt den Zugriff nicht zu. Nur wenn ich das Objekt konkret festlege:

Type: IP address
Address: 2003:aaaa:bbbb:cc01:aaaa:bbff:fecc:dddd

funktioniert es. Dann ist die Freigabe aber ungültig, sobald der externe Host vom Provider einen neuen Präfix bekommt.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: IPv6 Host in Firewall unabhängig vom Präfix freigeben

Beitrag von backslash »

Hi markus.donath,
Ich kann so ein Objekt auch anlegen:

Type: host identifier
Address: ::aaaa:bbff:fecc:dddd

Aber die Firewall lässt den Zugriff nicht zu. Nur wenn ich das Objekt konkret festlege:
Das Identifier-Objekt funktioniert nur im LAN - weil es letztendlich um den Prefix der LAN-Netze erweitert wird und passende Filter erzeugt. Der Lookup in der Firewall erfolgt halt immer mit der ganzen IP-Adresse im Paket...

Für dienen Fall solltest du besser dafür sorgen, daß der SSH-Client entweder sichere Paßwörtzer verwendet oder besser noch direkt public key authentiction nutzt. Das verhindert sicher, daß ein Unbefugter reinkommt...

Gruß
Backslash
markus.donath
Beiträge: 3
Registriert: 13 Apr 2020, 12:14

Re: IPv6 Host in Firewall unabhängig vom Präfix freigeben

Beitrag von markus.donath »

Hi backslash,

ok, dann verlasse ich mich darauf, dass SSH sicher ist und gebe in der Firewall den SSH-Port für jeden frei.
Für weniger sichere Dinge (RDP?) hääte ich es halt klasse gefunden, wenn ich den Remote Host eingrenzen könnte.
Antworten