[Berlin-wireless] Simples IPv6 Firewall-Konzept
Alina Friedrichsen
x-alina
Mi Nov 25 15:51:19 CET 2009
Hallo Patrick!
> Firewall Konzept für IPv6 um Private netze zu schützen?
Prinzipiell halte ich ein Betriebssystem-Konzept, das keine Firewall
braucht am besten, wie Ubuntu und mittlerweile auch Debian.
Wenns dann doch eine sein soll, kaeme mir folgendes simples Konzept in
den Sinn. Erstmal wird aller eingehender Traffic gefiltert. Geht dann
ein Paket an eine IP nach draussen wird diese IP in eine Whitelist
aufgenommen und alle Pakete von dieser nicht mehr gefiltert. So
braeuchten es kein komplexes Conntrack und es waere auf Anhieb mit allen
Protokollen kompatibel.
Die IPv6-Adressen von x::0:0:0:0 bis x::0:0:0:255 wuerde ich von der
Firewall ausschliessen, um es so moeglich zu machen einen Server
aufzusetzen, ohne die Firewall-Konfiguration zu aendern. Diese werden
von der IPv6-Autoconfig nie "vergeben".
Ausserdem waere es denkbar Port 80 und andere bekannte simple Protokolle
von den automatischen aufnehmen in die Whitelist auszuschliessen.
Liebe Gruesse
Alina
P.S.: An dieser Stelle will ich noch anmerken, das IPv4-NAT *keine*
Firewall darstellt. Ohne eine richtige Firewall ist ein Zugriff auf das
private LAN-Subnetz ohne weiteres moeglich, wenn der/die AngreiferIn nur
einen Hop entfernt ist.
Mehr Informationen über die Mailingliste Berlin