Wofür Firewall-Freigabe für IPv6 nötig?

Alle allgemeinen Fragen zum Thema IPv6 mit LANCOM Routern.

Moderator: Lancom-Systems Moderatoren

Antworten
g2216403
Beiträge: 17
Registriert: 19 Apr 2018, 15:50

Wofür Firewall-Freigabe für IPv6 nötig?

Beitrag von g2216403 » 20 Apr 2018, 17:45

Wofür sind die ganzen Freigaben (z.B. ICMPv6) in der Lancom-IPv6-Firewall nötig?

Ich hab das mit dem IPv6 so verstanden: Der Router kriegt einen Präfix vom Provider. Aus diesem Pool kann ich den Clients öffentliche IPv6 Adressen zuweisen. Hierfür kann ich den "Schnittstellen-Optionen" die Option "Router-Adv. senden" aktivieren und dabei entscheiden, ob die Vergabe per SLAAC oder per zusätzlichem DHCPv6 erfolgen soll. Per "Präfix beziehen von"-Option sage ich dann einfach den Präfix des Providers nutzen.

Wofür sind jetzt die ganzen Firewall-Freigaben, die standardmäßig aktiv sind? Diese ganze Router-Advertisement-Sache und DHCPv6 sind ja Sachen die intern ablaufen und daher keine Firewall-Freigabe fürs Internet benötigen. Warum muss ich dann trotzdem erlauben, dass Daten aus dem Internet ungehindert an die Clients weitergeleitet werden dürfen? Ist das kein Sicherheitsrisiko?

Maurice
Beiträge: 44
Registriert: 18 Sep 2017, 12:38

Re: Wofür Firewall-Freigabe für IPv6 nötig?

Beitrag von Maurice » 20 Apr 2018, 19:34

g2216403 hat geschrieben: Ich hab das mit dem IPv6 so verstanden: Der Router kriegt einen Präfix vom Provider. Aus diesem Pool kann ich den Clients öffentliche IPv6 Adressen zuweisen. Hierfür kann ich den "Schnittstellen-Optionen" die Option "Router-Adv. senden" aktivieren und dabei entscheiden, ob die Vergabe per SLAAC oder per zusätzlichem DHCPv6 erfolgen soll. Per "Präfix beziehen von"-Option sage ich dann einfach den Präfix des Providers nutzen.
Fast. Das vom Provider zugewiesene Präfix nutzt man (von wenigen Ausnahmen abgesehen) nicht direkt. Denn meist bekommt man ein /48- oder /56-Präfix, in den LANs verwendet man aber immer /64. Daher erstellt man für jedes LAN ein Subnetz auf Basis des zugewiesenen Präfixes (dazu ist die "Subnetz-ID"-Einstellung da).
g2216403 hat geschrieben: Wofür sind jetzt die ganzen Firewall-Freigaben, die standardmäßig aktiv sind?
Man muss hier unterscheiden zwischen Inbound- und Forwarding-Regeln. Du meinst wahrscheinlich die Inbound-Regeln, die betreffen das Routing aber überhaupt nicht (weder WAN->LAN noch LAN->WAN noch LAN<->LAN). Die sind erforderlich, damit die Dienste des Routers funktionieren.
g2216403 hat geschrieben: Diese ganze Router-Advertisement-Sache und DHCPv6 sind ja Sachen die intern ablaufen und daher keine Firewall-Freigabe fürs Internet benötigen.
Die Firewall greift für sämtlichen Traffic, der den Router erreicht (auch aus den LANs). Schau dir die Inbound-Regeln mal genauer an. Der DHCPv6-Server ist nur für lokale Clients erreichbar (Quell-Station LOCALNET). Für ANYHOST (d. h. auch aus dem WAN) freigegeben sind z. B. der DHCPv6-Client (erforderlich, um ein Präfix vom Provider zu beziehen) und ICMPv6. Letzteres ist essentiell für die Funktion von IPv6 und sollte nicht geblockt werden (bzw. nur sehr selektiv, wenn man genau weiß was man tut).
g2216403 hat geschrieben: Warum muss ich dann trotzdem erlauben, dass Daten aus dem Internet ungehindert an die Clients weitergeleitet werden dürfen?
Musst Du nicht und ist auch nicht der Fall. Bei den für das Routing entscheidenden Forwarding-Regeln wird default eigentlich nur ausgehender Traffic (LAN->WAN) erlaubt.

g2216403
Beiträge: 17
Registriert: 19 Apr 2018, 15:50

Re: Wofür Firewall-Freigabe für IPv6 nötig?

Beitrag von g2216403 » 23 Apr 2018, 08:28

Die "Inbound-Regeln" gelten also nur für Pakete die direkt an den Router adressiert sind?

Und die "Forwarding-Regeln" für alles das der Router an irgend eine Gegenstelle weiterleitet?

Maurice
Beiträge: 44
Registriert: 18 Sep 2017, 12:38

Re: Wofür Firewall-Freigabe für IPv6 nötig?

Beitrag von Maurice » 23 Apr 2018, 15:56

Exakt.

Die Lancom-Doku ist in einigen Punkten ja durchaus kritikwürdig, aber die Default-Regeln sind durchaus dokumentiert: https://www.lancom-systems.de/docs/LCOS ... aults.html

Antworten

Zurück zu „Fragen zum Thema IPv6“