Content Filter IPv4 und IPv6

[Andyet]

Hallo zusammen,

Kann es sein, das der Content Filter nur bei IPv4 greift, da ich ja auch nur in der IPv4 Firewall die Regel hinterlege.
Ich hatte zwei URLs auf der Blacklist, die eine Seite war nicht erreichbar, weil sie zu einer IPv4 Adresse aufgelöst wird, die andere war noch erreichbar, weil IPv6.

Kann ich den Content Filter auch auf IPv6 ausweiten?

Viele Grüsse Andy


Gesendet von iPad mit Tapatalk

[Jirka]

Hallo,

IPv6 soll ab 10.12 gehen (ich habe es noch nicht getestet). Welche Firmware verwendest Du denn? Ich habe bei den Routern mit Content-Filter die 9.24 und IPv6 abgeschaltet, dann geht es über IPv4.

Viele Grüße,
Jirka

[Andyet]

Hi,

Ich hab die 10.12.0147 drauf.
Muss ich noch etwas zusätzlich konfigurieren?

Viele Grüsse Andy


Gesendet von iPad mit Tapatalk

[Jirka]

Hallo,

na hast Du denn eine IPv6-Forwarding-Regel erstellt? Die erstellt sich nicht von alleine...

Viele Grüße,
Jirka

[backslash]

Hi Andyet,

Muss ich noch etwas zusätzlich konfigurieren?

ja, natürlich eine Regel, die eine Kontentfilter-Aktion verwendet. Ich weiss jetzt nicht, ob es da einen Konfig-Konverter gibt, der die Regel automatisch hinzufügt...
Wenn du bisher nur die vordefinierten Aktionen in der IPv6-Firewall verwenet hast, dann kannst du im CLI unter /Setup/IPv6/Firewall/Actions einfach "default" eingeben und es tauchen die neuen Kontentfilter-Aktionen auf.

Wenn du sie von Hand eintragen willst, lade einfach dieses Script hoch:

Code: Alles auswählen

lang English
flash No

cd /Setup/IPv6/Firewall/Actions
tab  Name                                Limit Unit      Time      Context  Flags   Action   Content-Filter                   DiffServ  DSCP-value     Conditions  actions
add  "CONTENT-FILTER-BASIC"              0     packets   absolute  session  none    check    "CF-BASIC-PROFILE"               No        0              ""          ""
add  "CONTENT-FILTER-PARENTIAL-CONTROL"  0     packets   absolute  session  none    check    "CF-PARENTIAL-CONTROL-PROFILE"   No        0              ""          ""
add  "CONTENT-FILTER-WORK"               0     packets   absolute  session  none    check    "CF-WORK-PROFILE"                No        0              ""          ""
cd /
flash Yes

# done
exit

dann brauchst du nur noch eine Forwarding-Regel, die eine der Aktionen verwendet - entsprechend der Regel in der IPv4-Firewall:

Code: Alles auswählen

lang English
flash No

cd /Setup/IPv6/Firewall/Forwarding-Rules
tab  Name                Action                  Services   Source-Stations  Destination-Stations  Flags   Prio  Src-Tag    Rtg-tag  Comment
add  "CONTENT-FILTER"    "CONTENT-FILTER-BASIC"  "ANY"      "ANYHOST"        "ANYHOST"             linked  9999  0          0        "pass web traffic to Content-Filter"
cd /
flash Yes

# done
exit

Gruß
Backslash

[Andyet]

Naja, ich hab damit ein bisschen probiert. Allerdings frage ich mich, wie ich die Anfragen (http und https) an den Content Filter schicke. Bei ipv4 gibt es ein eigenes Feld fürs die Auswahl des Filters.


Gesendet von iPhone mit Tapatalk

[Andyet]

Zu langsam . Danke backslash, probiere ich gleich aus.


Gesendet von iPad mit Tapatalk

[Andyet]

Das ist so natürlich einfacher, ich hatte in LanConfig versucht und da irgendwie den Content-Filter nicht gefunden.
Noch eine kurze Verständnisfrage, du schickst im zweite Code jeden IPv6 Traffic von jedem Client durch den Content Filter, richtig?
Ich wollte das auf WEB beschränken und eigentlich auch nur auf einige Clients. Bei IPv4 habe ich das an den MAC Adressen festgemacht und ein entsprechendes Stations-Objekt angelegt. MAC Adresse Beschränkung finde ich bei IPv6 jetzt nicht. Geht aber doch auch bestimmt

vg
Andy

[backslash]

Hi Andyet,

Noch eine kurze Verständnisfrage, du schickst im zweite Code jeden IPv6 Traffic von jedem Client durch den Content Filter, richtig? Ich wollte das auf WEB beschränken

ja, natürlich ist "WEB" als Dienst sinnvoller als "ANY"...

und eigentlich auch nur auf einige Clients. Bei IPv4 habe ich das an den MAC Adressen festgemacht und ein entsprechendes Stations-Objekt angelegt. MAC Adresse Beschränkung finde ich bei IPv6 jetzt nicht. Geht aber doch auch bestimmt

nicht direkt... Aber solange auf du deinen Rechnern keine privacy-extensions laufen läßt, bilden sie den Identifier ihrer IPv6-Adresse aus ihrer MAC-Adresse. Du mu0t also die Recher in die Stations-Objekte aufnehmen und als Typ "Host-Identifier" wählen. Dann kannst du optional angeben in wlechem Netzwerk (z.B. INTRANET) das Staionsobjekt gültig sein soll. Als letztes gibst du den Identifier an, der bildet sich aus der MAC-Adrsse wie folgt (siehe https://de.wikipedia.org/wiki/EUI-64):

• nimm die ersten 3 Bytes der MAC-Adresse,
• hänge zwei Bytes 0xff und 0xfe an,
• hänge und danach die leztzen 3 Bytes der MAC-Adresse an
• dann invertiere im ersten Byte das Bit 1 (also Byte1 XOR 2 - Informatiker zählen von hinten nach vorne und beginnen bei 0)
• und schreib das Ergebnis als IPv6-Adresse hin (vergiss dabei nicht die führende ::).

Somit wird aus der MAC-Adresse 00:01:02:03:04:05 der IPv6-Identifier ::0201:02ff:fe03:0405

Als Script im CLI:

Code: Alles auswählen

lang English
flash No

cd /Setup/IPv6/Firewall/Stations
tab  Name             Type           Local-network     Remote-peer/local-host  Address/Prefix                   
add  "HOSTBYMAC"      Identifier     "INTRANET"        ""                      "::0201:02ff:fe03:0405"
cd /
flash Yes

# done
exit

Anders als in der IPV4-Firewall kannst du keine Adreßlisten eingeben, d.h. du mußt für jeden Rechner ein eigenes Objekt anlegen. Die Objekte kannst du dann in der Stations-Liste (/Setup/IPv6/Firewall/Station-list) zusammenfassen

Gruß
Backslash

[Andyet]

Hi backslash,
Danke für die ausführliche Antwort. Ich hatte jetzt schon mit der IPv6 IP Adresse des Rechners gearbeitet, aber die ändert sich natürlich ab und zu. Da ist deine Lösung natürlich besser. Werde ich testen
Aber ich seh schon, IPv6 wird noch viel Arbeit machen. Viele Grüsse Andy


Gesendet von iPad mit Tapatalk