Blokování přístupu přes IPv6

FKoudelka

Blokování přístupu přes IPv6
« kdy: 03. 05. 2023, 17:26:10 »
Ahoj,
 začal jsem před pár týdny zkoumat IPv6 úplně od nuly, takže mám zmatek.
Nechci něco chybně  povolit a tak bych se zeptal:
chtěl bych pomocí pravidla na firewallu zakázat provoz na IPv6 než ho  na FW zapnu a pak teprve postupně povolovat.
Na to potřebuju objekty ~ scope , třeba vše veřejné, celý Ipv6 rozsah apod.
Nebo je to mimo ?
Já bych si ty rozsahy asi zbastlil, ale chci mít jistotu,tak se radši ptám .
Dík


Re:Blokování přístupu přes IPv6
« Odpověď #1 kdy: 03. 05. 2023, 17:37:21 »
Já vůbec nechápu otázku. Bavíš se o FW. Je to stejné jako u IPv4, co povolíš povolíš, co zakážeš, zakážeš.

FKoudelka

Re:Blokování přístupu přes IPv6
« Odpověď #2 kdy: 03. 05. 2023, 17:47:28 »
Já vůbec nechápu otázku. Bavíš se o FW. Je to stejné jako u IPv4, co povolíš povolíš, co zakážeš, zakážeš.
Chápu , je to začátečnická otázka, třeba u IPv4 je "any" 0.0.0.0 - 255.255.255.255
Zkrátka nevím jak ty objekty "odkud a kam" sichr definovat via IPv6 scopes a nechci udělat chybu a tudíž nechtěný prostup.
Mám zatím o IPv6 adresaci pouze matnou představu, ale studuju to pilně :-) ...
« Poslední změna: 03. 05. 2023, 17:49:22 od FKoudelka »

Re:Blokování přístupu přes IPv6
« Odpověď #3 kdy: 03. 05. 2023, 18:09:07 »
Budete muset napsat, o jakém firewallu vlastně píšete.

vcunat

  • ***
  • 131
    • Zobrazit profil
    • E-mail
Re:Blokování přístupu přes IPv6
« Odpověď #4 kdy: 03. 05. 2023, 18:18:21 »
::/0 je všechno.  Tedy přinejmenším v některých zápisech.  Neřekl bych, že mám velký přehled.  Spíš bych četl příslušnou dokumentaci, apod.


Re:Blokování přístupu přes IPv6
« Odpověď #5 kdy: 03. 05. 2023, 19:49:47 »
MikroTik config IPv6 FW:
https://i.imgur.com/8vn0fkW.png

Já vůbec nechápu otázku. Bavíš se o FW. Je to stejné jako u IPv4, co povolíš povolíš, co zakážeš, zakážeš.
Chápu , je to začátečnická otázka, třeba u IPv4 je "any" 0.0.0.0 - 255.255.255.255
Zkrátka nevím jak ty objekty "odkud a kam" sichr definovat via IPv6 scopes a nechci udělat chybu a tudíž nechtěný prostup.
Mám zatím o IPv6 adresaci pouze matnou představu, ale studuju to pilně :-) ...

FKoudelka

Re:Blokování přístupu přes IPv6
« Odpověď #6 kdy: 03. 05. 2023, 20:05:46 »
Budete muset napsat, o jakém firewallu vlastně píšete.
dik,asi ne, já potřebuju jen ty rozsahy:

 - všechny možné IP v6
 - všechny veřejné IP v6
ale možná hledám něco jako global unicast addres scope nebo taky něco, co neexistuje.

Zkrátka něco co dát do pravidla , aby mi nikdo nelezl dovnitř přes IPv6


_Jenda

  • *****
  • 1 600
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Blokování přístupu přes IPv6
« Odpověď #7 kdy: 03. 05. 2023, 20:11:04 »
Budete muset napsat, o jakém firewallu vlastně píšete.
dik,asi ne, já potřebuju jen ty rozsahy:

 - všechny možné IP v6
 - všechny veřejné IP v6
ale možná hledám něco jako global unicast addres scope nebo taky něco, co neexistuje.

Zkrátka něco co dát do pravidla , aby mi nikdo nelezl dovnitř přes IPv6
Běžné firewally mají defaultní politiku, případně pravidlo bez IP adresy, které se vyhodnotí vždy. Nenastavuje se tam žádná adresa „pro všechny“, udělá si to tohle samo uvnitř. Například iptables (i na IPv4; na IPv6 analogicky ip6tables):
Kód: [Vybrat]
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT
(ty rejecty jsou tam proto, aby mi to při ladění nekončilo frustrujícím timeoutem, ale rovnou chybou; samozřejmě je typicky vhodné povolit také provoz na loopbacku atd.)

A jinak jak psali ostatní, ::0/0, stejně jako IPv4.

FKoudelka

Re:Blokování přístupu přes IPv6
« Odpověď #8 kdy: 03. 05. 2023, 20:20:45 »
Budete muset napsat, o jakém firewallu vlastně píšete.
dik,asi ne, já potřebuju jen ty rozsahy:

 - všechny možné IP v6
 - všechny veřejné IP v6
ale možná hledám něco jako global unicast addres scope nebo taky něco, co neexistuje.

Zkrátka něco co dát do pravidla , aby mi nikdo nelezl dovnitř přes IPv6
Běžné firewally mají defaultní politiku, případně pravidlo bez IP adresy, které se vyhodnotí vždy. Nenastavuje se tam žádná adresa „pro všechny“, udělá si to tohle samo uvnitř. Například iptables (i na IPv4; na IPv6 analogicky ip6tables):
Kód: [Vybrat]
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT
(ty rejecty jsou tam proto, aby mi to při ladění nekončilo frustrujícím timeoutem, ale rovnou chybou; samozřejmě je typicky vhodné povolit také provoz na loopbacku atd.)

A jinak jak psali ostatní, ::0/0, stejně jako IPv4.
diky, a ten verejny scope asi 2000::/3 , že ?

Re:Blokování přístupu přes IPv6
« Odpověď #9 kdy: 03. 05. 2023, 21:16:30 »
Proto jsme posílal ten screen z MT, kde je vidět, že něco povolím a potom na konci jde vše ostatní do bloku.

Budete muset napsat, o jakém firewallu vlastně píšete.
dik,asi ne, já potřebuju jen ty rozsahy:

 - všechny možné IP v6
 - všechny veřejné IP v6
ale možná hledám něco jako global unicast addres scope nebo taky něco, co neexistuje.

Zkrátka něco co dát do pravidla , aby mi nikdo nelezl dovnitř přes IPv6
Běžné firewally mají defaultní politiku, případně pravidlo bez IP adresy, které se vyhodnotí vždy. Nenastavuje se tam žádná adresa „pro všechny“, udělá si to tohle samo uvnitř. Například iptables (i na IPv4; na IPv6 analogicky ip6tables):
Kód: [Vybrat]
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -j REJECT
iptables -A FORWARD -j REJECT
(ty rejecty jsou tam proto, aby mi to při ladění nekončilo frustrujícím timeoutem, ale rovnou chybou; samozřejmě je typicky vhodné povolit také provoz na loopbacku atd.)

A jinak jak psali ostatní, ::0/0, stejně jako IPv4.

FKoudelka

Re:Blokování přístupu přes IPv6
« Odpověď #10 kdy: 03. 05. 2023, 21:35:00 »
Proto jsme posílal ten screen z MT, kde je vidět, že něco povolím a potom na konci jde vše ostatní do bloku.

Budete muset napsat, o jakém firewallu vlastně píšete.

scotty, dík za screenshot. firewallům rozumím, IPv6 ne.
Filipe, nakonec proč ne, je to Checkpoint SMB FW locally managed, ale pochybuju, že s tím zde někdo pracuje.
« Poslední změna: 03. 05. 2023, 21:41:15 od FKoudelka »

Re:Blokování přístupu přes IPv6
« Odpověď #11 kdy: 03. 05. 2023, 21:49:27 »
Vsechny adresy jsou ::/0. Vsechny globalne routovatelne adresy jsou ::/0 minus par vybranych prefixu. Takhle se ale firewall na v6 uplne nestavi.

Zakladni firewall pro router bude typicky neco jako https://gist.github.com/ebababi/edad2fcc586961ae55b24686974176ad (je to tam dobre okomentovane).

Zkuste popsat slovy, ceho presne chcete dosahnout.

FKoudelka

Re:Blokování přístupu přes IPv6
« Odpověď #12 kdy: 03. 05. 2023, 22:06:06 »
Vsechny adresy jsou ::/0. Vsechny globalne routovatelne adresy jsou ::/0 minus par vybranych prefixu. Takhle se ale firewall na v6 uplne nestavi.

Zakladni firewall pro router bude typicky neco jako https://gist.github.com/ebababi/edad2fcc586961ae55b24686974176ad (je to tam dobre okomentovane).

Zkuste popsat slovy, ceho presne chcete dosahnout.
Jj diky moc,  i kdyz muj firewall je primárně “klikací”, já si to přežvejkám.
super, to je to, co jsem potřeboval.
Jen dotaz: je mikrotik jako firewall “stateful” ?
Slovy : chci zakázat incoming Ipv6 provoz kompletně, pak jen z internetu a pak to postupně povolovat ven.
Než IPv6 pustím na firmě, zkouším to z domu, ale blbej Compal od Vodafone neumí udělat static route do LAN. Takže konečná.

Re:Blokování přístupu přes IPv6
« Odpověď #13 kdy: 04. 05. 2023, 07:52:43 »
Ano, RouterOS firewall v Mikrotik zarizenich je stateful.
Zakaz vseho je jednoduchy, proste budete mit ve forward chainu pravidlo DROP (at uz implicitne nebo explicitne).
Povoleni zevnitr ven se typicky dela tak, ze ve forward chainu povoli vsechno co je ze src-interface-lan do dst-interface-wan (zadne konkretni IPv6 adresy explicitne zminovat nepotrebuju, pouzije se ::/0) a zaroven z src-if-wan do dst-if-lan vsechno, co je established, related.
Zpristupneni konkretnich sluzeb v LAN z Internetu pak udelate tak, ze povolite provoz z src-if-wan na dst-address-LAN + vybrany protokol/port.
K tomu obecne doporucuju nefiltrovat ICMPv6 (pozor, je to jiny IP protokol nez ICMPv4).

To vse plati pro forward chain stavoveho firewallu.
Pro input chain je situace slozitejsi, tam se da vic inspirovat tim Mikrotikem. Pokud si treba zakazete ICMPv6 na inputu, bude se vam rozpadat tabulka sousedu.

Re:Blokování přístupu přes IPv6
« Odpověď #14 kdy: 04. 05. 2023, 07:55:42 »
Jinak pripojeni od VF neni pro IPv6 testy uplne idealni. Compal umi pro podrizeny router ("za nim") slouzit jako Prefix delegating router. Tzn. statickou routu neudelate, ale pokud si Vas podrizeny firewall/router umi vyzadat blok adres pomoci DHCPv6-Prefix Delegation, dostanete od Compalu prefix /60 a ten muzete na podrizenem routeru dal delit na podsite /64.