Wofür Firewall-Freigabe für IPv6 nötig?

Forum für allgemeinen Fragen zum Thema IPv6 mit LANCOM Routern

Moderator: Lancom-Systems Moderatoren

Antworten
g2216403
Beiträge: 17
Registriert: 19 Apr 2018, 15:50

Wofür Firewall-Freigabe für IPv6 nötig?

Beitrag von g2216403 »

Wofür sind die ganzen Freigaben (z.B. ICMPv6) in der Lancom-IPv6-Firewall nötig?

Ich hab das mit dem IPv6 so verstanden: Der Router kriegt einen Präfix vom Provider. Aus diesem Pool kann ich den Clients öffentliche IPv6 Adressen zuweisen. Hierfür kann ich den "Schnittstellen-Optionen" die Option "Router-Adv. senden" aktivieren und dabei entscheiden, ob die Vergabe per SLAAC oder per zusätzlichem DHCPv6 erfolgen soll. Per "Präfix beziehen von"-Option sage ich dann einfach den Präfix des Providers nutzen.

Wofür sind jetzt die ganzen Firewall-Freigaben, die standardmäßig aktiv sind? Diese ganze Router-Advertisement-Sache und DHCPv6 sind ja Sachen die intern ablaufen und daher keine Firewall-Freigabe fürs Internet benötigen. Warum muss ich dann trotzdem erlauben, dass Daten aus dem Internet ungehindert an die Clients weitergeleitet werden dürfen? Ist das kein Sicherheitsrisiko?
Maurice
Beiträge: 131
Registriert: 18 Sep 2017, 12:38

Re: Wofür Firewall-Freigabe für IPv6 nötig?

Beitrag von Maurice »

g2216403 hat geschrieben: Ich hab das mit dem IPv6 so verstanden: Der Router kriegt einen Präfix vom Provider. Aus diesem Pool kann ich den Clients öffentliche IPv6 Adressen zuweisen. Hierfür kann ich den "Schnittstellen-Optionen" die Option "Router-Adv. senden" aktivieren und dabei entscheiden, ob die Vergabe per SLAAC oder per zusätzlichem DHCPv6 erfolgen soll. Per "Präfix beziehen von"-Option sage ich dann einfach den Präfix des Providers nutzen.
Fast. Das vom Provider zugewiesene Präfix nutzt man (von wenigen Ausnahmen abgesehen) nicht direkt. Denn meist bekommt man ein /48- oder /56-Präfix, in den LANs verwendet man aber immer /64. Daher erstellt man für jedes LAN ein Subnetz auf Basis des zugewiesenen Präfixes (dazu ist die "Subnetz-ID"-Einstellung da).
g2216403 hat geschrieben: Wofür sind jetzt die ganzen Firewall-Freigaben, die standardmäßig aktiv sind?
Man muss hier unterscheiden zwischen Inbound- und Forwarding-Regeln. Du meinst wahrscheinlich die Inbound-Regeln, die betreffen das Routing aber überhaupt nicht (weder WAN->LAN noch LAN->WAN noch LAN<->LAN). Die sind erforderlich, damit die Dienste des Routers funktionieren.
g2216403 hat geschrieben: Diese ganze Router-Advertisement-Sache und DHCPv6 sind ja Sachen die intern ablaufen und daher keine Firewall-Freigabe fürs Internet benötigen.
Die Firewall greift für sämtlichen Traffic, der den Router erreicht (auch aus den LANs). Schau dir die Inbound-Regeln mal genauer an. Der DHCPv6-Server ist nur für lokale Clients erreichbar (Quell-Station LOCALNET). Für ANYHOST (d. h. auch aus dem WAN) freigegeben sind z. B. der DHCPv6-Client (erforderlich, um ein Präfix vom Provider zu beziehen) und ICMPv6. Letzteres ist essentiell für die Funktion von IPv6 und sollte nicht geblockt werden (bzw. nur sehr selektiv, wenn man genau weiß was man tut).
g2216403 hat geschrieben: Warum muss ich dann trotzdem erlauben, dass Daten aus dem Internet ungehindert an die Clients weitergeleitet werden dürfen?
Musst Du nicht und ist auch nicht der Fall. Bei den für das Routing entscheidenden Forwarding-Regeln wird default eigentlich nur ausgehender Traffic (LAN->WAN) erlaubt.
g2216403
Beiträge: 17
Registriert: 19 Apr 2018, 15:50

Re: Wofür Firewall-Freigabe für IPv6 nötig?

Beitrag von g2216403 »

Die "Inbound-Regeln" gelten also nur für Pakete die direkt an den Router adressiert sind?

Und die "Forwarding-Regeln" für alles das der Router an irgend eine Gegenstelle weiterleitet?
Maurice
Beiträge: 131
Registriert: 18 Sep 2017, 12:38

Re: Wofür Firewall-Freigabe für IPv6 nötig?

Beitrag von Maurice »

Exakt.

Die Lancom-Doku ist in einigen Punkten ja durchaus kritikwürdig, aber die Default-Regeln sind durchaus dokumentiert: https://www.lancom-systems.de/docs/LCOS ... aults.html
Antworten