IPv6 - brauchbares Firewall-Setup

Started by hauetaler, December 01, 2020, 09:35:59 AM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
December 06, 2020, 11:20:16 AM #15
Quote from: hauetaler on December 05, 2020, 08:12:19 AM
Interessanter Ansatz, aber leider in meinem Fall so nicht machbar. Dein Vorschlag setzt, so wie ich das sehe, an den entsprechenden Stellen auch VLAN-fähige Switche voraus. Die sind aber nur bei mir vorhanden. Alternative wäre evtl., soweit möglich die Software auf einigen Routern durch OpenWRT zu ersetzen. Letztendlich wird mir der Aufwand dafür dann allerdings zu hoch, nur um IPv6 nutzen zu können. Das einfachste wäre, die anschlossenen Nachbarn würden die WLAN-Kennwörter nicht rausrücken und die Leute einfach im Freifunk belassen. Also werde ich wohl vorerst IPv4-only bleiben, denn das ist bei meinem Setup ne einfache Lösung.

Verstehe ich dich richtig, dein Switch hat ein bisschen was in der Birne, und da hängen in einem separaten VLAN deine Nachbarn dran. Diese haben APs und eigenes WLAN, und zusätzlich Freifunk. Du willst, dass die Nachbarn gerne über deine Sense rausgehen können, alle anderen (Gäste der Nachbarn etc.) sollen aber bitte Freifunk nutzen?
Du könntest ja einfach die MAC Adressen der Nachbarn auf deinem Switch whitelisten und den Rest blockieren. Damit erübrigt sich dann auch die Filterung nach einzelnen IP Adressen in IPv4, welche total einfach zu umgehen ist, wie hier ja bereits erörtert wurde.
Dann wäre auch IPv6 kein Problem :-)
December 06, 2020, 11:52:29 AM #16
@hauetaler also verstehe ich das richtig:
- du willst für deine nachbarn als WISP fungieren?
wie machst du das mit der störhaftung?
ich persönlich würde einfach deine nachbarn ALLE über das Freifunk sürfen lassen wenn sie sich kein internet leisten können.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
December 06, 2020, 12:32:11 PM #17
Quote from: marcquark on December 06, 2020, 11:20:16 AM

Du könntest ja einfach die MAC Adressen der Nachbarn auf deinem Switch whitelisten und den Rest blockieren. Damit erübrigt sich dann auch die Filterung nach einzelnen IP Adressen in IPv4, welche total einfach zu umgehen ist, wie hier ja bereits erörtert wurde.
Dann wäre auch IPv6 kein Problem :-)

Ähhh, also MAC-spoofing gibt es ja nun auch schon ein paar Tage, wo soll da der Vorteil sein?
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
December 06, 2020, 12:53:46 PM #18
Also für die Störerhaftung würde ich einfach bei einem VPN Anbieter einen Account holen und diesen ganzen Traffic der "Externen" darüber abwickeln. Die Bandbreite dürfte dabei ohnehin geringer sein als das, was Dein WAN Anschluss zu leisten imstande ist.
,,The S in IoT stands for Security!" :)
December 06, 2020, 10:27:09 PM #19
Quote from: chemlud on December 06, 2020, 12:32:11 PM
Quote from: marcquark on December 06, 2020, 11:20:16 AM

Du könntest ja einfach die MAC Adressen der Nachbarn auf deinem Switch whitelisten und den Rest blockieren. Damit erübrigt sich dann auch die Filterung nach einzelnen IP Adressen in IPv4, welche total einfach zu umgehen ist, wie hier ja bereits erörtert wurde.
Dann wäre auch IPv6 kein Problem :-)

Ähhh, also MAC-spoofing gibt es ja nun auch schon ein paar Tage, wo soll da der Vorteil sein?

Kein Nachteil ggü. dem Ansatz, es an den IP Adressen festzumachen. Nur dass man halt das Ziel "nur die Nachbarn niemand sonst" damit halbwegs umgesetzt bekommt. Wer schlau genug ist, die MAC Adresse zu spoofen, der würde auch seine IPv4 Adresse spoofen.
Vorteil: Funktioniert auch für IPv6 weil unabhängig von IP Adressen. Sicherheitslevel ist im Wesentlichen gleich: Reicht aus, um unerwünschten Usern eine Gewisse Hürde in den Weg zu legen, aber ist keine wirkliche "Sicherheit".
Print
Go Up Pages 1 2
User actions