IPv6

Posts 1-10 of 27

Back
Next

Johannes Hubertz Premium Member Group moderator
The company name is only visible to registered members.

Besteht noch Bedarf an Paket-Filtern?
Hallo zusammen,

besteht noch Bedarf an Filterung von IPv6-Paketen?
Ich spiele gerade etwas mit ip6tables, hat außer mir noch jemand Interesse daran?

Ich freue mich über jede Antwort,
Frohes Schaffen
Johannes
- 03 Nov 2010, 08:28 am
Johannes Hubertz wrote: > Hallo zusammen, > > besteht noch Bedarf an Filterung von IPv6-Paketen? > Ich spiele gerade etwas mit ip6tables, hat außer mir noch jemand > Interesse daran? > > Ich freue mich über jede Antwort, > Frohes Schaffen > Johannes
Alexander Janssen Premium Member Group moderator
The company name is only visible to registered members.

Re: Besteht noch Bedarf an Paket-Filtern?
Moin,

ja natürlich; nur, weil sich die Adressierung ändert, besteht das alte Konzept von Ports und Services ja weiter. Man braucht ja trotzdem eine Möglichkeit an zentraler Stelle differenziert Services zuzulassen oder eben nicht. Die Themen NAT und PAT wird mit Sicherheit in den Hintergrund rücken, aber genau dann - wenn die Services echt gerouted erreichbar sind und nicht nur eine trügerische Sicherheit durch Port-Forwarding hergestellt wird - brauchen wir eine anständige Firewall. (Nebenbei fällt dann endlich diese unanständige sicherheitstechnische Begrüdung für NAT weg!)

Neu ist dann sicherlich das Thema anycasting, damit habe ich mich aber noch gar nicht beschäftigt. Ich vermute mal, dass sich das Thema auch auf den klassischen Fall "Source Adresse und Destination Port" reduzieren lässt.

Gruß, Alex.
- 03 Nov 2010, 08:50 am
Alexander Janssen wrote: > Moin, > > ja natürlich; nur, weil sich die Adressierung ändert, besteht das > alte Konzept von Ports und Services ja weiter. Man braucht ja > trotzdem eine Möglichkeit an zentraler Stelle differenziert Services > zuzulassen oder eben nicht. Die Themen NAT und PAT wird mit > Sicherheit in den Hintergrund rücken, aber genau dann - wenn die > Services echt gerouted erreichbar sind und nicht nur eine trügerische > Sicherheit durch Port-Forwarding hergestellt wird - brauchen wir eine > anständige Firewall. (Nebenbei fällt dann endlich diese unanständige > sicherheitstechnische Begrüdung für NAT weg!) > > Neu ist dann sicherlich das Thema anycasting, damit habe ich mich > aber noch gar nicht beschäftigt. Ich vermute mal, dass sich das Thema > auch auf den klassischen Fall "Source Adresse und Destination Port" > reduzieren lässt. > > Gruß, Alex.
Johannes Hubertz Premium Member Group moderator
The company name is only visible to registered members.

Re^2: Besteht noch Bedarf an Paket-Filtern?
Moin zurück,

A. J. schrieb:
... > brauchen wir eine anständige Firewall.
Oh, welch Anspruch. Firewall ist viel mehr als Paket-Filter. Ich rede zunächst aber nur von Paket-Filtern. ip6tables hab ich nun schon mal in Betrieb auf 2 Kisten, pf.conf und ipf wuerde ich gerne ebenso integrieren, evtl. kann man auch noch IOS-ACLs mal genauer unter die Lupe nehmen.

Neu ist dann sicherlich das Thema anycasting,
Nein. Das ist auch unicast, nur eben an verschiedenen Stellen mit der gleichen Dest.IP. Gibt es schon ziemlich lange. Üblich im grossen Stil bei größeren DNS-Servern.

damit habe ich mich aber noch gar nicht beschäftigt. Ich vermute mal, dass sich das Thema auch auf den klassischen Fall "Source Adresse und Destination Port" reduzieren lässt.
Ja, bis auf die üblicherweise verwendeten dynamischen Routingprotokolle, die immer mit im Spiel sind, damit es auch genau das nutzt, was es soll. Anycast macht man schließlich, um Latenzen zu minimieren bei gleichzeitiger Redundanz.

Frohes Schaffen
Johannes
- 03 Nov 2010, 09:07 am
Johannes Hubertz wrote: > Moin zurück, > > A. J. schrieb: > > ... > brauchen wir eine anständige Firewall. > > Oh, welch Anspruch. Firewall ist viel mehr als Paket-Filter. Ich rede > zunächst aber nur von Paket-Filtern. ip6tables hab ich nun schon mal > in Betrieb auf 2 Kisten, pf.conf und ipf wuerde ich gerne ebenso > integrieren, evtl. kann man auch noch IOS-ACLs mal genauer unter die > Lupe nehmen. > > > Neu ist dann sicherlich das Thema anycasting, > > Nein. Das ist auch unicast, nur eben an verschiedenen Stellen mit der > gleichen Dest.IP. Gibt es schon ziemlich lange. Üblich im grossen > Stil bei größeren DNS-Servern. > > > damit habe ich mich aber noch gar nicht beschäftigt. Ich vermute mal, > > dass sich das Thema auch auf den klassischen Fall "Source Adresse und > > Destination Port" reduzieren lässt. > > Ja, bis auf die üblicherweise verwendeten dynamischen > Routingprotokolle, die immer mit im Spiel sind, damit es auch genau > das nutzt, was es soll. Anycast macht man schließlich, um Latenzen zu > minimieren bei gleichzeitiger Redundanz. > > Frohes Schaffen > Johannes
Thomas Wallutis Premium Member
The company name is only visible to registered members.

Re: Besteht noch Bedarf an Paket-Filtern?
Hi,

besteht noch Bedarf an Filterung von IPv6-Paketen?
wieso "noch"? Ich denke, der Bedarf wird da in nächster Zeit ansteigen.

Bis denn

Thomas Wallutis
- 03 Nov 2010, 3:00 pm
Thomas Wallutis wrote: > Hi, > > > besteht noch Bedarf an Filterung von IPv6-Paketen? > > wieso "noch"? Ich denke, der Bedarf wird da in nächster Zeit > ansteigen. > > Bis denn > > Thomas Wallutis
Johannes Hubertz Premium Member Group moderator
The company name is only visible to registered members.

Re^2: Besteht noch Bedarf an Paket-Filtern?
ReHi,

T. W. schrieb:
wieso "noch"? Ich denke, der Bedarf wird da in nächster Zeit ansteigen.
Das sehe ich nicht. Sind ja nur Experten hier, und mich hat bisher weder hier noch anderswo jemand danach gefragt. Daraus schliesse ich messerscharf, dass es jeder schon kann oder es niemanden interessiert. ==> Da habe ich mir also schon wieder ein totes Pferd ausgesucht. Auch gut. Dann kann ich mich ja wieder hinlegen ;-) Welch Freude!

Frohes Schaffen weiterhin allerseits,
Johannes
- 03 Nov 2010, 8:54 pm
Johannes Hubertz wrote: > ReHi, > > T. W. schrieb: > > wieso "noch"? Ich denke, der Bedarf wird da in nächster Zeit > > ansteigen. > > Das sehe ich nicht. Sind ja nur Experten hier, und mich hat bisher > weder hier noch anderswo jemand danach gefragt. Daraus schliesse ich > messerscharf, dass es jeder schon kann oder es niemanden > interessiert. ==> Da habe ich mir also schon wieder ein totes Pferd > ausgesucht. Auch gut. Dann kann ich mich ja wieder hinlegen ;-) > Welch Freude! > > Frohes Schaffen weiterhin allerseits, > Johannes
Thomas Wallutis Premium Member
The company name is only visible to registered members.

Re^3: Besteht noch Bedarf an Paket-Filtern?
Hi,

T. W. schrieb:
du darfst meinen Namen ruhig ausschreiben, ich stehe zu dem was ichs chreibe.

Das sehe ich nicht. Sind ja nur Experten hier, und mich hat bisher weder hier noch anderswo jemand danach gefragt. Daraus schliesse ich messerscharf, dass es jeder schon kann oder es niemanden interessiert. ==> Da habe ich mir also schon wieder ein totes Pferd ausgesucht. Auch gut. Dann kann ich mich ja wieder hinlegen ;-)
ich bezeichne mich nicht als IPv6-Experte, mache aber trotzdem gerade meine ersten Schritte damit. Meine Fritz!Box hat die neueste Firmware und mit dem SIXXS-Tunnel läuft zuhause jetzt auch IPv6.

Da ist die Beschäftigung mit IPv6-Paketfiltern der nächste logische Schritt.

Bis denn

Thomas
- 03 Nov 2010, 9:25 pm
Thomas Wallutis wrote: > Hi, > > > T. W. schrieb: > > du darfst meinen Namen ruhig ausschreiben, ich stehe zu dem was ichs > chreibe. > > > Das sehe ich nicht. Sind ja nur Experten hier, und mich hat bisher > > weder hier noch anderswo jemand danach gefragt. Daraus schliesse ich > > messerscharf, dass es jeder schon kann oder es niemanden > > interessiert. ==> Da habe ich mir also schon wieder ein totes Pferd > > ausgesucht. Auch gut. Dann kann ich mich ja wieder hinlegen ;-) > > ich bezeichne mich nicht als IPv6-Experte, mache aber trotzdem gerade > meine ersten Schritte damit. Meine Fritz!Box hat die neueste Firmware > und mit dem SIXXS-Tunnel läuft zuhause jetzt auch IPv6. > > Da ist die Beschäftigung mit IPv6-Paketfiltern der nächste logische > Schritt. > > Bis denn > > Thomas
Johannes Hubertz Premium Member Group moderator
The company name is only visible to registered members.

Re^4: Besteht noch Bedarf an Paket-Filtern?
2.ReHi,

T. W. schrieb:
du darfst meinen Namen ruhig ausschreiben, ich stehe zu dem was ich
schreibe.
Ich weiss das. Die Automaten auch? Es gibt da pro- und contra-Regeln, wie die Postings von Suchmaschinen bevorzugt werden...

meine ersten Schritte damit.
Nur zu! Das macht ja nicht dömmer. Mindestens kann man dabei was lernen, z.B. dass icmpv6 wichtig ist.

Meine Fritz!Box hat die neueste Firmware und mit dem SIXXS-Tunnel läuft zuhause jetzt auch IPv6.
Oh, ist da in dem Fritz ein ip6tables schon drin oder macht er das ohne Dich zu fragen? Oder hast Du den Tunnel weiter innen terminiert? ip6tables ist Dein Freund! (neben tcpdump!)

Da ist die Beschäftigung mit IPv6-Paketfiltern der nächste logische Schritt.
Ich weiß nicht. Ich versuche noch DNS ans fliegen zu bekommen, aber mit der Delegation meiner Reverse-Zone hält man sich seitens meines ansonsten hervorragenden ISP noch vornehm zurück, weiß der Himmel warum. (Wovon man nicht sprechen kann, darüber muss man schweigen. Ludwig Wittgenstein)

Das mit dem Filtern ist ja auch nur eine Marotte von mir, wo ich nicht von lassen kann. Ob es wirklich sinnvoll ist, weiss ich auch noch nicht. Portscanns habe ich noch nicht beobachtet, wohl vor allem deshalb, weil die einfach zu lange dauern. Es verheddern sich nur ganz wenige Pakete in meinen Maschen. Aber das Generieren von Filtern ist schon spannend. Man will ja vielleicht auch was sehen, was durch geht. Und das hängt nur von der Granularität ab.

Frohes Schaffen allerseits,
Johannes
- 03 Nov 2010, 10:03 pm
Johannes Hubertz wrote: > 2.ReHi, > > T. W. schrieb: > > du darfst meinen Namen ruhig ausschreiben, ich stehe zu dem was ich > > schreibe. > > Ich weiss das. Die Automaten auch? Es gibt da pro- und contra-Regeln, > wie die Postings von Suchmaschinen bevorzugt werden... > > > meine ersten Schritte damit. > > Nur zu! Das macht ja nicht dömmer. Mindestens kann man dabei was > lernen, z.B. dass icmpv6 wichtig ist. > > > Meine Fritz!Box hat die neueste Firmware und mit dem SIXXS-Tunnel > > läuft zuhause jetzt auch IPv6. > > Oh, ist da in dem Fritz ein ip6tables schon drin oder macht er das > ohne Dich zu fragen? Oder hast Du den Tunnel weiter innen terminiert? > ip6tables ist Dein Freund! (neben tcpdump!) > > > Da ist die Beschäftigung mit IPv6-Paketfiltern der nächste logische > > Schritt. > > Ich weiß nicht. Ich versuche noch DNS ans fliegen zu bekommen, aber > mit der Delegation meiner Reverse-Zone hält man sich seitens meines > ansonsten hervorragenden ISP noch vornehm zurück, weiß der Himmel > warum. (Wovon man nicht sprechen kann, darüber muss man schweigen. > Ludwig Wittgenstein) > > Das mit dem Filtern ist ja auch nur eine Marotte von mir, wo ich > nicht von lassen kann. Ob es wirklich sinnvoll ist, weiss ich auch > noch nicht. Portscanns habe ich noch nicht beobachtet, wohl vor allem > deshalb, weil die einfach zu lange dauern. Es verheddern sich nur > ganz wenige Pakete in meinen Maschen. Aber das Generieren von Filtern > ist schon spannend. Man will ja vielleicht auch was sehen, was durch > geht. Und das hängt nur von der Granularität ab. > > Frohes Schaffen allerseits, > Johannes
Post visible to registered members
Johannes Hubertz Premium Member Group moderator
The company name is only visible to registered members.

Re^6: Besteht noch Bedarf an Paket-Filtern?
S.U.:
Komische Frage irgendwie.
Komische Bemerkung. Sehr lustig. Ich lach mich wech.
- 04 Nov 2010, 09:54 am
Johannes Hubertz wrote: > S.U.: > > Komische Frage irgendwie. > > Komische Bemerkung. Sehr lustig. Ich lach mich wech.
Post visible to registered members

Back
1
2
3
Next