Ist es möglich, einen IPv6 Host in Firewall unabhängig vom Präfix freizugeben? Oder eine Freigabe der MAC-Adresse?
Wie müsste man ein solches Station-Objekt anlegen?
IPv6 Host in Firewall unabhängig vom Präfix freigeben
Moderator: Lancom-Systems Moderatoren
-
- Beiträge: 3
- Registriert: 13 Apr 2020, 12:14
Re: IPv6 Host in Firewall unabhängig vom Präfix freigeben
Wenn der DHCP-Server aktiv ist, kann man es darüber machen. Wenn der DHCP-Server einen Hostname anzeigt, kann man diesen auch in der IPv6-Firewall nutzen.
https://www.lancom-systems.de/docs/LCOS ... jects.html => Lokale Station
Ich hab es letztens über einen Host-Identifier gemacht, da gibt man nur den "internen" Teil der IP-Adresse ein. Läuft bei mir aber auch in Verbindung mit dem DHCP-Server. Prefix wird vom Provider bezogen und im DHCP-Server steht eine Reservierung mit dem Hostanteil der IP-Adresse und der Info "Prefix beziehen von Provider"
In der Reservierung ist noch eine 1 mehr mit drin, da sonst bei mir eine Adresse aus einem anderen Subnetz verwendet wird. INTRANET ist Subnetz 1, also eine 1 mehr.
https://www.lancom-systems.de/docs/LCOS ... jects.html => Lokale Station
Ich hab es letztens über einen Host-Identifier gemacht, da gibt man nur den "internen" Teil der IP-Adresse ein. Läuft bei mir aber auch in Verbindung mit dem DHCP-Server. Prefix wird vom Provider bezogen und im DHCP-Server steht eine Reservierung mit dem Hostanteil der IP-Adresse und der Info "Prefix beziehen von Provider"
In der Reservierung ist noch eine 1 mehr mit drin, da sonst bei mir eine Adresse aus einem anderen Subnetz verwendet wird. INTRANET ist Subnetz 1, also eine 1 mehr.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
LCS NC/WLAN
-
- Beiträge: 3
- Registriert: 13 Apr 2020, 12:14
Re: IPv6 Host in Firewall unabhängig vom Präfix freigeben
Leider benötige ich den Eintrag für einen externen Host. Dieser soll dann z.B. ssh-Verbindungen zu Hosts im LAN herstellen dürfen.
Ich kann so ein Objekt auch anlegen:
Type: host identifier
Address: ::aaaa:bbff:fecc:dddd
Aber die Firewall lässt den Zugriff nicht zu. Nur wenn ich das Objekt konkret festlege:
Type: IP address
Address: 2003:aaaa:bbbb:cc01:aaaa:bbff:fecc:dddd
funktioniert es. Dann ist die Freigabe aber ungültig, sobald der externe Host vom Provider einen neuen Präfix bekommt.
Ich kann so ein Objekt auch anlegen:
Type: host identifier
Address: ::aaaa:bbff:fecc:dddd
Aber die Firewall lässt den Zugriff nicht zu. Nur wenn ich das Objekt konkret festlege:
Type: IP address
Address: 2003:aaaa:bbbb:cc01:aaaa:bbff:fecc:dddd
funktioniert es. Dann ist die Freigabe aber ungültig, sobald der externe Host vom Provider einen neuen Präfix bekommt.
Re: IPv6 Host in Firewall unabhängig vom Präfix freigeben
Hi markus.donath,
Für dienen Fall solltest du besser dafür sorgen, daß der SSH-Client entweder sichere Paßwörtzer verwendet oder besser noch direkt public key authentiction nutzt. Das verhindert sicher, daß ein Unbefugter reinkommt...
Gruß
Backslash
Das Identifier-Objekt funktioniert nur im LAN - weil es letztendlich um den Prefix der LAN-Netze erweitert wird und passende Filter erzeugt. Der Lookup in der Firewall erfolgt halt immer mit der ganzen IP-Adresse im Paket...Ich kann so ein Objekt auch anlegen:
Type: host identifier
Address: ::aaaa:bbff:fecc:dddd
Aber die Firewall lässt den Zugriff nicht zu. Nur wenn ich das Objekt konkret festlege:
Für dienen Fall solltest du besser dafür sorgen, daß der SSH-Client entweder sichere Paßwörtzer verwendet oder besser noch direkt public key authentiction nutzt. Das verhindert sicher, daß ein Unbefugter reinkommt...
Gruß
Backslash
-
- Beiträge: 3
- Registriert: 13 Apr 2020, 12:14
Re: IPv6 Host in Firewall unabhängig vom Präfix freigeben
Hi backslash,
ok, dann verlasse ich mich darauf, dass SSH sicher ist und gebe in der Firewall den SSH-Port für jeden frei.
Für weniger sichere Dinge (RDP?) hääte ich es halt klasse gefunden, wenn ich den Remote Host eingrenzen könnte.
ok, dann verlasse ich mich darauf, dass SSH sicher ist und gebe in der Firewall den SSH-Port für jeden frei.
Für weniger sichere Dinge (RDP?) hääte ich es halt klasse gefunden, wenn ich den Remote Host eingrenzen könnte.