IPV6 Dienste über die öffentliche IP sperren

[Schakus]

Hallo,
ich habe IPv4 und IPv6. Ich habe nach außen durch die Fritzbox natürlich nur wenige Ports IPv4 weitergeleitet.

Jedoch gibt es natürlich keine Firewall beim NAT, wenn IPv6 verwendet wird. Deshalb habe ich in der DS nach einer Funktion für eine Sperre von Diensten über die öffentliche IPv6 gesucht. Leider vergeblich. Auch über Google konnte ich wenig finden.

Leider muss ich feststellen, dass über die öffentliche IPv6 der DS jeder Port erreichbar war, z.B. Verwaltungsoberfläche, SSH etc.
Nun habe in der Netzwerkschnittstelle IPv6 erst einmal deaktiviert. Ich finde das sehr gefährlich und war mir dessen gar nicht bewusst (gar nicht so weit gedacht).

Wie habt ihr das gelöst? Bzw. wie kann ich das Problem beheben und auch meine IPv6 absichern?
Ich möchte z.B. nicht, dass SSH und Verwaltungsoberfläche über die öffentliche IPv6 erreichbar ist.

Vielen Dank!

 

[Frogman]

Du kannst doch in der Firewall Regeln für ipv6 - Präfixe bzw. Subnet mit einer Sperre einrichten.

 

[Schakus]

Danke für die Antwort.
Jedoch weiß ich nicht, wie mir das weiterhelfen soll. Ich möchte ja nur bestimmte Dienste blockieren. Wie soll das mit einem Subnetz gehen? Ebenfalls weiß ich nicht, wo dies in den Firewall Einstellungen geschehen soll.

 

[Frogman]

Du brauchst ja auch nur bestimmte Ports sperren, auf denen die Dienste laufen. Schau dir einmal die Hilfe der Firewall an.

 

[Schakus]

Das verwende ich doch, jedoch werden diese Regeln nur für IPv4 verwendet bzw. möchte ich ja bestimmte Ports für IPv6 nicht über die öffentliche IPv6 erreichbar sind.

 

[mausbieber]

Hallo Schakus,
soweit ich weiß blockt die Fritzbox die Zugriffe für IPV6 von außen ab. Schaue mal unter Internet Freigaben Reiter IPv6. Hier kann man für bestimmte Geräte alle Ports oder nur bestimmte freigeben

 

[Schakus]

Ahhh okay also da habe ich momentan keine Freigaben, kann jedoch welche Konfigurieren. Standardmäßig scheint dann alles offen zu sein.
Trotzdem ist das doch nicht der Sinn von IPv6? Müsste man dies nicht in der DS direkt konfigurieren können?

EDIT:
Also für mich macht das keinen Sinn, dass Standardmäßig alle Ports offen sind, wenn die Einstellung bei der Fritzbox dies erst ermöglichen soll:
Mann muss explizit auswählen "Firewall für dieses Gerät im Heimnetz komplett öffnen.", wenn alle IPv6 Ports geöffnet werden sollen.
Oder halt "Firewall nur für bestimmte Protokolle öffnen.". Keines der Beiden ist jedoch aktiviert... und trotzdem werden die Ports geöffnet.
Soll das ein Bug sein?

 

[mausbieber]

Bist Du sicher, dass Du vom Internet aus zugreifst und nicht aus dem lokalen Netz?
Globale Adresse heißt nicht automatisch von draußen. Die Fritzbox blockiert nur Anfragen von außen.
Da Du nichts eingetragen hast sollte von außen kein Gerät erreichbar sein.

 

[Schakus]

Ich konnte über die 2a02:... Adresse (über wieistmeineip.de) die Verwaltungsoberfläche erreichen. fe80: ging natürlich auch, dies ist aber die Link-Local-Adresse.

Gerade noch einmal getestet. Ja geht auch über die öffentliche....
Dann habe ich in der Fritzbox nur Port 80 freigegeben für die DS. Trotzdem ist die Verwaltungsoberfläche auf 5001 erreichbar. Anschließend habe ich noch den Port 80 gelöscht, d.h. keine Freigabe in der Liste, auch noch erreichbar.

 

[Tommes]

Ich habe zwar noch kein IPv6, aber ab nächster Woche werd ich mich auch damit auseinandersetzen müssen. Wenn ich das aber in der Fritz!Box Hilfe richtig interpretiere...

http://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7490/014/hilfe_internet_freigabe_ipv6

...dürften standardmäßig keine Weiterleitungen freigegben sein. Und ehrlich gesagt, kann nich mir auch nicht vorstellen, das das ein Bug sei soll. Das wäre ja verherend. Da muß irgendwo anders etwas schief laufen bei dir. Leider kann ich das wie gesagt, nicht testen, da mir z.Z. noch IPv6 fehlt.

Tommes

 

[Schakus]

Richtig...
Ich habe gerade einen Kumpel gefunden der IPv6 hat und morgen mal versucht mich zu "erreichen". Dann bin ich ja gespannt.
Jedenfalls haben die Einstellungen der Fritzbox irgendwie keinen Einfluss...

Ich glaube nicht, dass die Fritzbox die externe IPv6 in meinem localen Netz direkt Loopback'ed und die deshalb an der Firewall vorbei kommen.

 

[Frogman]

Also bei mir funktionieren sowohl die Portblockade der Fritzbox (Firmware 6.05) bei IPv6 mit Ausnahme der geöffneten Ports als auch Firewallregeln in der DS für IPv6-Adressen.