Moin,
gibt es sowas wie die UniFi Allgemein | Firewall-Regeln by EJ auch für IPv6? Ich hab IPv6 aktiviert und über diesen Weg sind meine non-DMZ Netzwerke wieder aus der DMZ erreichbar. Mindestens das würde ich gerne abstellen.
Gruß
Maxim
Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellenEs gibt 4 Antworten in diesem Thema, welches 2.765 mal aufgerufen wurde. Der letzte Beitrag () ist von maxim.webster.
Moin,
gibt es sowas wie die UniFi Allgemein | Firewall-Regeln by EJ auch für IPv6? Ich hab IPv6 aktiviert und über diesen Weg sind meine non-DMZ Netzwerke wieder aus der DMZ erreichbar. Mindestens das würde ich gerne abstellen.
Gruß
Maxim
Nun, wenn du die gleichen Regeln wie bei IP4 auch bei IPv6 haben möchtest, dann brauchst du nur die selben entsprechenden Regeln unter IPv6 eintragen.
Der Unterschied ist nur, dass die IP Adressen, falls überhaupt in Regeln vorhanden, anders sind
Die Unterschiede sind größer. Sie beginnen mit der Verwendung von Unicast-Adresse bei IPv6 und (mittelfristig) wechselndem Präfix und enden bei unterschiedlichen Masken im UniFi Network Controller.
Beispiel LAN/DMZ:
Auf IPv4 Ebene ist die Sache recht einfach und entspricht den Firewall-Regeln von EJ:
LAN In:
LAN Local:
Bei IPv6 hab ich im UI keine Möglichkeit ein Netzwerk als Source oder Destination zu wählen, ich kann nur IPv6 Address Groups wählen. Für den Aufbau solcher Gruppen verwende ich die aktuellen IPv6 Adressen der Netze, welche ihr Präfix (/59) aber via DHCPv6 von meinem ISP erhalten. Ändert sich das Präfix, sind alle Address Groups hinfällig - und damit auch die Firewall-Regeln.
Und (aktuell) kann ich auch keinen Einfluß auf die Subnet-ID eines Netzes nehmen, es wird einfach hochgezählt (bfe0, bfe1 bis bfff max.)
Also mit wechselnden Prefix macht IPv6 auch nicht wirklich Sinn,
Ich habe Gruppen mit den Präfix ...:/64 erstellt, auf diese Filter ich.
Ansonsten gibt es kein private addresses im IPv6 Netzwerk, also musst du nach den Ausnahmen entweder alles sperren oder den Zugriff aus oder nach einem Präfix sperren.
Also mit wechselnden Prefix macht IPv6 auch nicht wirklich Sinn,
Also, vielleicht ist das ja auch nicht der Fall, ich hab ehrlich gesagt noch nie drauf geachtet, ob das Präfix sich seitens Vodafone ändert. Ich hab eben keinen Vertrag mit statischen IPs.
Mit den Gruppen werde ich wohl auch machen, aber doof, das UniFi da keinen einfacheren Weg über symbolische Netzwerk-Namen erlaubt.
zur Zeit sind 68 Mitglieder (davon 2 unsichtbar) und 388 Gäste online - Rekord: 129 Benutzer ()