IPV6

[okostojás]

Heló!

 

Na van-e már valami hír  az IPV6-ról? Eddig csak a "nem tudjuk mikor" szöveget hallom mindig.

[anonymus]

@btz  Nálam is Toredo volt

[btz]

Bocs elírtam, Teredo

[anonymus]

Én is elírtam elfér

[fgabor87]

Ok, köszönöm, világos.

Régen, illetve gondolom még most is léteznek olyan weboldalak, amik ellenőrzik a tűzfalat.  Vannak IPv6 tűzfal tesztelők is, pl itt, ezek arra jók lesznek, hogy nyomjunk egy port scannelést.
Bár nálam úgy tűnik, nem lesz változás, az IPv6-os tűzfal engedélyezve van a routerbe, és elvileg csak azt a forgalmat engedi be, amihez van kimenő kapcsolat is.

Remélem a router is simán fogja venni ezt a Dual Stack dolgot, nem egy csúcsmodell, viszont nem szeretném cserélni, mert rettentő stabil.

[Tamas586]

btz: kösz hogy próbálsz segíteni. Próbáltam régebben openwrt -t is, de nekem nagyon nem jött be, de ez nem erre a fórumra tartozik. 

A tűzfal képeden az Allow dhcpv6 részt (és alrészleteit) kinagyíthatnád, mert homályos, a többi rész nem lényeges (más hasznos ipv6 rész nálad sincs) mert hasonlók nálam is vannak, csak más helyeken, csak nálam nincsenek elkülönítve a v4 és v6 ra... 

De szerintem mivel a teszted 20/20 emiatt nálad is az a probléma hogy kint van a géped a neten úgy hogy bárki hozzáférhet (az openwrt ellenére), ezt próbálom én elkerülni, gondolom az elvárt 18/20 lenne az ideális (hogy ne érjenek el a wan felől)..

Szerkesztve ekkor: 2016. október 9. Szerkesztő: Tamas586

[btz]

@Tamas586

Szivesen segítek, ezért vagyok/vagyunk itt.

Szerintem a SOHO routereken a lehető legjobb választás az Openwrt, amennyiben a felhasználónak nincs szüksége hardveres NAT-ra. A többi már csak ízlés kérdése.

Közben utána néztem és úgy olvastam, hogy a DD-WRT-ben is van iptables, szóval lehet azt is tűzfalazni.

Teljesen igazad van, a számodra a 18/20 az ideális, nálam engedélyezve volt az echo,  így hoztam egy új szabályt, ami így néz ki:

Ezzel a routerrel lezártam az összes eszközöm ezirányú továbbítását a routeren keresztül (Discard forward).

Majd felmentem az ipv6 tesztoldalra a kliens tabletemmel.

Itt látható, hogy már csak 18/20 pontot kaptam, mivel a routerem kiszűri az icmp echo-requestet. Nem fog válaszolni a pingre.

Felmentem egy online ipv6 ping oldalra. Látható (lenne ha véletlen nem satíroztam volna ki, de az alján valamennyire látszik), hogy 100% packet loss az ipv6 címemre, pedig a tabletem kint van a publikus neten az ipv6 címével.

Majd az egészet ellenőriztem egy ipv6 online portszkennerel is. Látható, hogy a tabletem az összes fontos portja amit kívülről nagyon szeretnek birizgálni, az zárva van. Persze megnézhettem volna mind a 65ezer valahányra, de most idő hiányában ezt nem tettem, de biztos, hogy mind zárva van. Tehát akik hekkelni akarnak, azok nem találják meg a tabletem. Miközben én kiscicás képeket nézek a Google ipv6 only keresőjében vele.

Összegezve: kívülről zártak a portjaim, pingre nem válaszolok, de az eszközömnek publikus ipv6 címe van, amivel látom az ipv6-only oldalakat is. Van még valami amivel ki tudják még deríteni az esetleges támadók, hogy a tabletem publikus ip címmel fent van a neten?

Amint pedig nyitok egy portot, azt ugyan így a router tűzfalán lezárhatom, ha nem akarom használni, annak ellenére, hogy a tabletemen nyitott az adott port, wan felől zártnak fogja mutatni a port scanner, de a tabletemen is lezárhatom a portot, de akkor már a routerrel hiába nyitom meg a lehetőséget, akkor is zárva marad, csak a tabletemmel tudom megnyitni.

[btz]

@Tamas586 

A fenti példában, ha elindítanék a tabletemen, mondjuk egy FTP szolgáltatást, akkor rögtön zöldre váltana a portscannaren a 21-es port, ezért ha tudod, hogy x ipv6 című gépeden ezt akarsz futtatni, de nem szeretnéd, hogy wan felől is elérhető legyen, akkor csak fel kell venni egy új szabályt a 21-es (FTP szolgáltatáshoz dedikált) port szűrésére

Ekkor a port scanneren kívülről csak annyi látszik, hogy le van filterezve az a port, de belülről elérheted, mert a forrás nem a wanból jön. A wanból filtered-et kap mindenki

Publikus ipv6 alatt ugyanúgy biztonságban lehet tartani egy eszközt, mintha ipv4 nat mögött lenne.

Szerkesztve ekkor: 2016. október 9. Szerkesztő: btz

[Tamas586]

btz: Jelenleg is használok a routeren iptables parancsot, de teljesen más célra, de nálam nem szövegesen kell beírni mint ahogy mutatod, hanem parancssorosan így: 

de nem én írtam, nem tudom mi mit jelent benne, de mintha itt most nem iptables kellene hanem ip6tables...

Szerkesztve ekkor: 2016. október 9. Szerkesztő: Tamas586

[btz]

@Tamas586

Ha nincs grafikus felület, akkor sajnos maradnak a parancsok. Openwrt esetén szerencsére a konfigurációs állományok szerkesztése sem túl bonyolult, így grafikus felület nélkül sem kell parancsozni, elég csak szerkeszteni a konfig állományt. DD-WRT esetén nemtudom, hogy milyen lehetőségek vannak konfigurációs állomány szerkesztésére.

[anonymus]

@Tamas586 Rákérdeztem a te esetedre hogy mit tervez a T. Várom a választ.

Szerkesztve ekkor: 2016. október 10. Szerkesztő: anonymus

[okostojás]

No, valakinél valami?

[Tamas586]

anonymus: köszi. Remélem kiadnak a "bridge módban használt HGW esetén a modemre kapcsolódó ügyfél" esetére is egy használatbavételi mintát különféle modemekhez (DD-WRT, Open-WRT, Asus, stb), hogy ezek is 18/20 -as mérést produkáljanak (de nem 20/20-at). Egyenlőre én így állítottam be: (kép1)  (kép2) egy más célú leírás alapján, emiatt nem vagyok biztos a sikerben.

Szerkesztve ekkor: 2016. október 10. Szerkesztő: Tamas586

[anonymus]

10 perce, okostojás írta:

No, valakinél valami?

Koaxon November - December közt, optikán és xdsl-en nincs egyenlőre ütemezés.

[anonymus]

@Tamas586    Nemlegeset választ kaptam sajnos v6 belesz é kapcsolva.

[Tamas586]

@anonymus     A közleményben az volt hogy be lesz.   "bridge módban használt HGW esetén a modemre kapcsolódó ügyfél" 

[anonymus]

Direkt ma kérdeztem rá ipv6 os kollegánál. Te modem tip és router konfigod szerint

Szerkesztve ekkor: 2016. október 10. Szerkesztő: anonymus

[btz]

17 órája, Tamas586 írta:

Egyenlőre én így állítottam be: (kép1)  (kép2) egy más célú leírás alapján, emiatt nem vagyok biztos a sikerben.

Megcsináltam ezekszerint a szabályok szerint, ugyan ilyen ip6tables parancsokkal, de mint sejtettem nem kapta meg a tabletem az ipv6 címét. Ezért raktam bele plusz pár sort, így most megkapja a címet, de most meg azzal szenvedek, hogy nem tudok portot nyitni a tabletemen futó teszt webszervernek, de még utána kérdezek pár dolognak.

[Tamas586]

anonymus: azért remélem hogy a T nem arcra (usernévre) szűrve fogja osztogatni a IPv6-ot, hogy van akinek ad van akinek nem, hanem csak az fogja eldönteni a kérdést hogy kinél levő berendezések képesek azt fogadni és kinél nem, mint azt btz más szolgáltatós példája is mutatja..

btz: "raktam bele plusz pár sort, így most megkapja a címet" ... ha megosztanád megköszönném. ámbár a két router firm nagyon különbözik struktúrálisan, ezért lehet hogy ami nálam menne az nálad nem (és vice versa). de ott vannak (az ausztrál oldalon) az egyedi szabályok is a portnyitáshoz.. DD-hez.

[anonymus]

Listában szereplő eszközökre szűrve tuti fogja adni, többi meg szerencse kérdése lesz szerintem de majd kiderül.

Szerkesztve ekkor: 2016. október 11. Szerkesztő: anonymus

[btz]

@Tamas586

Iptables az iptables mindkét rendszeren, Linux alapú rendszer a Dd-wrt és az Openwrt is. Az Openwrt-nek van egyfajta külön tűzfal keretrendszere, ami áttudja kicsit bolygatni az iptables dolgait, de én most magamnak megoldottam (igaz csak áttmenetileg), hogy csak az iptables adja a szabályokat a saját routeremben.

Így néz ki az iptables parancssor, amit hozzáadtam annak érdekében hogy ne szűnjön meg az ipv6

ip6tables -F
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT ACCEPT
ip6tables -A FORWARD -p tcp -m tcp --dport 8080 -j DROP #(Vagy ACCEPT ha meg akarom nyitni a portot)
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT -s fe80::/10 -j ACCEPT
ip6tables -A INPUT -p IPv6-icmp -j ACCEPT
ip6tables -A OUTPUT -p IPv6-icmp -j ACCEPT
ip6tables -A FORWARD -p IPv6-icmp -j ACCEPT

Lényegében csak az ICMPv6 forgalmat engedélyeztem újra mind az INPUT, FORWARD, OUTPUT láncon, plusz a FE80::/10 kommunikációt. Plusz tesztelés képpen a 8080-as port nyitásához, zárásához egy sort, ez másnak nem kell, ezt csak azért raktam bele, hogy teszteljem vele, mikor és milyen iptables szabályok alapján érhető el a tabletemre telepített teszt webszerver, amit ipv6-on keresztül lehet csak elérni, ipv4 esetén nem, mivel le van NAT-olva.

Az openwrt-s forgalmi szabály beállításoknak az analógiájára csináltam, mondjuk én kicsit egyszerűsítettem az iptables parancs formát, hogy átláthatóbb legyen most a tesztelésnél (később majd teljesen finomhangolom az openwrts beállítás szerint, különbontva az icmpv6 fajtákat, stb)...

...de a lényeg, hogy működik, kapok ipv6-ot és tudom zárni nyitni a portokat openwrt alatt annak tűzfalkeretrendszerét megkerülve (a képen látszik, hogy ki van lőve az engedélyezés az openwrts szabályok mellöl, helyettük az Iptables szabályai vannak életben).

 

ip6tables -A FORWARD -p tcp -m tcp --dport 8080 -j DROP 

hatására filterezi a 8080-as webszerverem portját 

ip6tables -A FORWARD -p tcp -m tcp --dport 8080 -j ACCEPT

Hatására pedig engedélyezzük

 

 

Később ha érdekel valakit /lesz rá igény, akkor megcsinálom az iptables parancsok teljes hozzáigazítát az openwrt féle szabályokhoz.

[Tamas586]

@btz      Nagyon szépen köszönöm a segítséged!  :R

Mostmár nincs más hátra mint előre.. várom hogy hozzám is megérkezzen.

Ámbár még nem értem a megoldásod. Mivel egyetlen ip6tables sorba sem írtál publikus ipv6 címet, csak fe80-at ezért nem tudom honnan tudja a router melyik gépeden van a webszerver. vagy valami NAT64/NAT-PT is van a dologban? Gondolom a helyi dhcp6 szervered aktív volt, vagy nem?

Nézegettem hogy a bolti (gyári firmwares) routerek többségében van IPv6 támogatás, de amelyikben van IPv6 tűzfal az ritkaság.

Arra is rájöttem hogy nálam csak az egyiket (dhcp6s vagy radvd) szabad bekapcsolni (kép), vagy egyiket se és akkor csak a router kap 1db ipv6 címet ami ugyan nem elég a ipv6 böngészésre, de gondolom elég egy bejövő VPN-hez.

[btz]

@Tamas586

Nem tudja a router, hogy melyiken van a webszerver. A tesztelés ideje alatt gyakran változtattam a tabletem ipv6 ip címén és nem volt kedvem átirogatni a célgép címét a szabályban, ezért inkább ezt nem szabályoztam le egy gépre, szóval ha lett volna 10 webszerveres gépem, akkor ezzel mind a 10-re nyitott lenne a 8080-as port.

A FE80 kommunikáció a dhcpv6-hoz kell, ahogy az openwrt-s tűzfal szabályban is benne van, elég lenne csak source portnak az 547 célportnak pedig az 546, de ahogy a fenti hszben is írtam, az egyszerűsíés kevéért kihagytam az iptables szabályból. Később ha több időm lesz foglalkozni vele akkor bele rakom az iptables szabályba is a portokat, és azt is hogy a cél ip range is csak FE80....lehet.

Szerintem érdemes brkapcsolva hagyni mind a kettőt, mert ha van Android 5 alatti oprendszerrel rendelkező telefonod, tableted, akkor az csak slaac-al kaphat ipv6 címet, én is stateless + stateful beállításon hagytam a routerem dhcpv6 beállításait.

[btz]

És akkor itt is az ígért módosítás, mostmár jobban hasonlít az openwrt tűzfalkeretrendszerében található szabályokhoz. 

ip6tables -F
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT ACCEPT
ip6tables -A FORWARD -p tcp -m tcp --destination [IDE: IPV6 CÍM] --dport 8080 -j DROP #(Vagy ACCEPT ha meg akarom nyitni a portot a destination résznél megjelölt ip címmel rendelkező gépen)
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT --protocol udp --src fe80::/10 --source-port 547 --destination fe80::/10 --destination-port 546 -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT #(Drop ha nem akarjuk a pinget)
ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-reply -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type bad-header -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type unknown-header-type -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-solicitation -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT
ip6tables -A INPUT -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
ip6tables -A FORWARD -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
ip6tables -A FORWARD -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
ip6tables -A FORWARD -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
ip6tables -A FORWARD -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
ip6tables -A FORWARD -p icmpv6 --icmpv6-type echo-request -j ACCEPT #(Drop ha nem akarjuk a pinget)
ip6tables -A FORWARD -p icmpv6 --icmpv6-type echo-reply -j ACCEPT
ip6tables -A FORWARD -p icmpv6 --icmpv6-type unknown-header-type -j ACCEPT
 

Több szabályt fel lehet venni, különböző gépek portjaira, nyitni és zárni lehet őket, akár mind a ~65000  portot le lehet zárni, mintha NAT mögött lenne a gép.

[Tamas586]

@btz     Köszönöm mégegyszer, de egyenlőre jegelem a témát amíg meg nem érkezik hozzám xDSL-en..

Más.   Mobilnet: ha jól tudom ez indul leghamarabb (?).  Itt hogy kell beállítani USB stick-hez, mobil wifi hotspotba / routerbe dugott verziónál? Itt is DHCPv6-PD kell vagy SLAAC..?

[btz]

Milyen típusú a mobil router? Maradjon benne midkettő. Slaac is, DHVPv6-PrefixDelegation is.