Firewall-Regeln by EJ - für IPv6

Es gibt 4 Antworten in diesem Thema, welches 2.242 mal aufgerufen wurde. Der letzte Beitrag () ist von maxim.webster.

    Nun, wenn du die gleichen Regeln wie bei IP4 auch bei IPv6 haben möchtest, dann brauchst du nur die selben entsprechenden Regeln unter IPv6 eintragen.

    Der Unterschied ist nur, dass die IP Adressen, falls überhaupt in Regeln vorhanden, anders sind

    Die Unterschiede sind größer. Sie beginnen mit der Verwendung von Unicast-Adresse bei IPv6 und (mittelfristig) wechselndem Präfix und enden bei unterschiedlichen Masken im UniFi Network Controller.


    Beispiel LAN/DMZ:

    • LAN: 192.168.30.0/24, 2a02:xxxx:1468:bfe0::/64
    • DMZ: 192.168.40.0/24, 2a02:xxxx:1468:bfe1::/65

    Auf IPv4 Ebene ist die Sache recht einfach und entspricht den Firewall-Regeln von EJ:


    LAN In:

    1. accept from network LAN to network DMZ
    2. reject from private IPv4 addresses to private IPv4 addresses

    LAN Local:

    1. reject from network DMZ to 192.168.30.1


    Bei IPv6 hab ich im UI keine Möglichkeit ein Netzwerk als Source oder Destination zu wählen, ich kann nur IPv6 Address Groups wählen. Für den Aufbau solcher Gruppen verwende ich die aktuellen IPv6 Adressen der Netze, welche ihr Präfix (/59) aber via DHCPv6 von meinem ISP erhalten. Ändert sich das Präfix, sind alle Address Groups hinfällig - und damit auch die Firewall-Regeln.


    Und (aktuell) kann ich auch keinen Einfluß auf die Subnet-ID eines Netzes nehmen, es wird einfach hochgezählt (bfe0, bfe1 bis bfff max.)

    Also mit wechselnden Prefix macht IPv6 auch nicht wirklich Sinn,

    Ich habe Gruppen mit den Präfix ...:/64 erstellt, auf diese Filter ich.

    Ansonsten gibt es kein private addresses im IPv6 Netzwerk, also musst du nach den Ausnahmen entweder alles sperren oder den Zugriff aus oder nach einem Präfix sperren.

    Zitat von uboot21

    Also mit wechselnden Prefix macht IPv6 auch nicht wirklich Sinn,

    Also, vielleicht ist das ja auch nicht der Fall, ich hab ehrlich gesagt noch nie drauf geachtet, ob das Präfix sich seitens Vodafone ändert. Ich hab eben keinen Vertrag mit statischen IPs.


    Mit den Gruppen werde ich wohl auch machen, aber doof, das UniFi da keinen einfacheren Weg über symbolische Netzwerk-Namen erlaubt.