ipv4 _only_ funktioniert hier bei mir in allen netzen tadellos - und das wird aus guten gründen auch so bleiben: * höherer datenschutz ipv4: keine macadresse in der adresse (keine zusatzdienste zur anonymisierung notwendig) * höherer datenschutz ipv4: prefix bleibt je anbieter in ipv6 erhalten, dh keine echte-adress änderung mehr möglich. * höherer datenschutz ipv4: NAT - ohne "funktionierende" Firewall sind alle Endgeräte per IPv6 direkt mit dem Netz verbunden und direkt erreichbar/angreifbar. * deutlich reduzierte komplexität: IPv6-Adressen sind nicht mehr trivial anpingbar/erreichbar - niemand will manuell 128bit blöcke irgendwo angeben. * unausgereifte drittanbieter software-produkte.
ipv6 mag ja toll in der theorie sein - in der praxis für zuhause überwiegen bei mir die nachteile bei weiten eventuellen vorteilen.
Von Verfluchtnochmal-05995bd7b am Fr, 16. November 2018 um 17:53 #
Bla - NAT ist keine Firewall - Das da unten macht NAT und sonst genau gar nichts, das komplette /24 ist von draussen erreichbar als wenn es kein NAT hätte (Ja das im Sampe links und rechts private Ranges stehen weiss ich selber auch)
Chain PREROUTING (policy ACCEPT 6 packets, 392 bytes) pkts bytes target prot opt in out source destination 0 0 NETMAP all -- wan * 0.0.0.0/0 172.17.0.0/24 to:172.16.0.0/24
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 1 188 NETMAP all -- * wan 172.16.0.0/24 0.0.0.0/0 to:172.17.0.0/24
Du hast völlig recht wenn Du sagst das NAT keine Firewall ist. Es bricht die Ende-zu-Ende Konnektivität mit einen Übersetzungsmechanismus.
Die meisten möchten das nicht verstehen dass NAT kein Security Feature ist. Man kann es denen hundertfach sagen und erklären, aber das ist wie eingebrannt ins Hirn.
mit dem unterschied das ipv4 dank nat out of box ohne firewall keine end-geräte öffentlich ins netz stellt, während ipv6 zwingenden handlungsbedarf beim admin erfordert - das häckchen an der falschen stelle ud schon dind alle devices direkt öffentlich erreichbar. sry geräte gehören out of box sicher konfiguriert, firewalls sollten nur eingesetzt werden müssen wo sie absoluterforderlich sind.
und welchen mehrwertbietet mir jetzt ipv6 als normaler iptv/webserver für tante emma der all die genannten nachteile und die ganze undurchsichtige komplexität rechtfertigt? jedes device hat nun 2-3 oder noch mehr ipv6 adressen - toll...
Von Verfluchtnochmal_5987109 am Fr, 16. November 2018 um 20:18 #
Einen Scheissdreck!
NAT alleine stellt erstmal alles durch was der Client anfragt und dass die meisten NAT Devices eine stateful packet inspection mitbringen und nur Antwortpakete aus dem Internet reinlassen hat mit dem NAT selbst genau nichts zu tun
"-t nat" und "- t filter" sind völlig verschiedene Bereiche und wenn du ohne Firewall irgendwas ins Netz hängst bist du ein Volltrottel, egal wieviel NAT da davor ist
Von Meinereinerdernichtregistriert am Sa, 17. November 2018 um 17:16 #
Genau diese Borniertheit, das wie ein Pawlow-Reflex jedes mal ausgiebig zu erwähnen und nicht auf irgendwas anderes mehr einzugehen, wenn nur NAT genannt wird, ist einer der Gründe, warum IPv6 sich nicht weiter verbreitet.
Diese Aussage ist zwar korrekt aber so hilfreich wie eine Microsofthilfe.
Also wiederholt doch nicht immer gebetsmühlenartig und tausendfach diesen Mist! Er ist nicht hilfreich und führt nur zur völligen Ablehnung von IPv6.
Den Pawlow-Reflex kann man auch den IPv4 Verfechtern vorhalten, die seit mittlerweile zwei Jahrzehnten eine lösungsorientierte Mitarbeit an der Weiterentwicklung des Internet Protokolls ablehnen und immer mit dem gleichen Fehlschluss daherkommen, wenn ein Vergleich das Thema ist.
Also wiederholt doch nicht immer gebetsmühlenartig und tausendfach diesen Mist!
Von Verfluchtnochmal-05995bd7b am So, 18. November 2018 um 13:13 #
Wenn ihr Idioten mal aufhören würdet NAT und Firewall zu verwechseln!
NAT: -t nat FIREWALL: -t filter
Zwei völlig unterschiedliche Tabellen, macht euer Spielzeugrouter meistens automatisch, verlassen würde ich mich nicht darauf und wenn spricht nichts dagegen das ganz genauso für ipv6 auszuliefern
"ACCEPT ctstate RELATED,ESTABLISHED" geht genauso bei ipv6, sprich rein kommen nur Pakete die Antworten sind - Hier gibt es genau KEINEN Unterschied zwischen ipv4 und ipv6 - Alles was du nicht explizit öffnest ist aus dem Internet geschlossen und der enizige Unterschied für dich als Otto-Nlam-User ist dass du dir das Geschiss mit dem Portforwwarind sparen kannst was etwas mühsam wird wenn mehr als ein gerät Port 443 nach aussen offen haben soll
Von Meinereinerdernichtregistriert am Sa, 17. November 2018 um 17:23 #
> * höherer datenschutz ipv4: keine macadresse in der adresse (keine zusatzdienste zur anonymisierung notwendig)
Hinzu kommt, daß Geräte auch mit eingeschalteter Privacy-Extension diese unter Umständen nicht verwenden. Gerade Linux ist da nen Bitch.
Obwohl alle meine Geräte ausschließlich mit eingeschalteter Privacy-Extension im Netz sind, benötige ich in der Firewall unbedingt die folgenden Einträge: -A FORWARD -m eui64 -j NFLOG --nflog-prefix EUI-64-FORWARD --nflog-group 1 -A FORWARD -o eth0 -m eui64 -j log_REJECT
Regelmäßig sehe ich, wie Linux-Geräte es trotzdem versuchen.
> * deutlich reduzierte komplexität: …
Korrekt.
Meine IPv6-Firewall ist deutlich komplexer als die IPv4-Firewall obwohl auf IPv4-Ebene mehr Ausnahmen drin sind. Dieses ganze rum-ICMP-le und stateless-Zeugs machen das Zeugs fast nicht beherrschbar.
ipv4 _only_ funktioniert hier bei mir in allen netzen tadellos - und das wird aus guten gründen auch so bleiben:
* höherer datenschutz ipv4: keine macadresse in der adresse (keine zusatzdienste zur anonymisierung notwendig)
* höherer datenschutz ipv4: prefix bleibt je anbieter in ipv6 erhalten, dh keine echte-adress änderung mehr möglich.
* höherer datenschutz ipv4: NAT - ohne "funktionierende" Firewall sind alle Endgeräte per IPv6 direkt mit dem Netz verbunden und direkt erreichbar/angreifbar.
* deutlich reduzierte komplexität: IPv6-Adressen sind nicht mehr trivial anpingbar/erreichbar - niemand will manuell 128bit blöcke irgendwo angeben.
* unausgereifte drittanbieter software-produkte.
ipv6 mag ja toll in der theorie sein - in der praxis für zuhause überwiegen bei mir die nachteile bei weiten eventuellen vorteilen.
Bla - NAT ist keine Firewall - Das da unten macht NAT und sonst genau gar nichts, das komplette /24 ist von draussen erreichbar als wenn es kein NAT hätte (Ja das im Sampe links und rechts private Ranges stehen weiss ich selber auch)
Chain PREROUTING (policy ACCEPT 6 packets, 392 bytes)
pkts bytes target prot opt in out source destination
0 0 NETMAP all -- wan * 0.0.0.0/0 172.17.0.0/24 to:172.16.0.0/24
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
1 188 NETMAP all -- * wan 172.16.0.0/24 0.0.0.0/0 to:172.17.0.0/24
Du hast völlig recht wenn Du sagst das NAT keine Firewall ist. Es bricht die Ende-zu-Ende Konnektivität mit einen Übersetzungsmechanismus.
Die meisten möchten das nicht verstehen dass NAT kein Security Feature ist. Man kann es denen hundertfach sagen und erklären, aber das ist wie eingebrannt ins Hirn.
mit dem unterschied das ipv4 dank nat out of box ohne firewall keine end-geräte öffentlich ins netz stellt, während ipv6 zwingenden handlungsbedarf beim admin erfordert - das häckchen an der falschen stelle ud schon dind alle devices direkt öffentlich erreichbar. sry geräte gehören out of box sicher konfiguriert, firewalls sollten nur eingesetzt werden müssen wo sie absoluterforderlich sind.
und welchen mehrwertbietet mir jetzt ipv6 als normaler iptv/webserver für tante emma der all die genannten nachteile und die ganze undurchsichtige komplexität rechtfertigt? jedes device hat nun 2-3 oder noch mehr ipv6 adressen - toll...
Websurfer muss es natürlich heissen :-)
Sonst kommts hier noch zu missverständliche Diskussionen
Einen Scheissdreck!
NAT alleine stellt erstmal alles durch was der Client anfragt und dass die meisten NAT Devices eine stateful packet inspection mitbringen und nur Antwortpakete aus dem Internet reinlassen hat mit dem NAT selbst genau nichts zu tun
"-t nat" und "- t filter" sind völlig verschiedene Bereiche und wenn du ohne Firewall irgendwas ins Netz hängst bist du ein Volltrottel, egal wieviel NAT da davor ist
Genau diese Borniertheit, das wie ein Pawlow-Reflex jedes mal ausgiebig zu erwähnen und nicht auf irgendwas anderes mehr einzugehen, wenn nur NAT genannt wird, ist einer der Gründe, warum IPv6 sich nicht weiter verbreitet.
Diese Aussage ist zwar korrekt aber so hilfreich wie eine Microsofthilfe.
Also wiederholt doch nicht immer gebetsmühlenartig und tausendfach diesen Mist! Er ist nicht hilfreich und führt nur zur völligen Ablehnung von IPv6.
Den Pawlow-Reflex kann man auch den IPv4 Verfechtern vorhalten, die seit mittlerweile zwei Jahrzehnten eine lösungsorientierte Mitarbeit an der Weiterentwicklung des Internet Protokolls ablehnen und immer mit dem gleichen Fehlschluss daherkommen, wenn ein Vergleich das Thema ist.
Dito.Wenn ihr Idioten mal aufhören würdet NAT und Firewall zu verwechseln!
NAT: -t nat
FIREWALL: -t filter
Zwei völlig unterschiedliche Tabellen, macht euer Spielzeugrouter meistens automatisch, verlassen würde ich mich nicht darauf und wenn spricht nichts dagegen das ganz genauso für ipv6 auszuliefern
"ACCEPT ctstate RELATED,ESTABLISHED" geht genauso bei ipv6, sprich rein kommen nur Pakete die Antworten sind - Hier gibt es genau KEINEN Unterschied zwischen ipv4 und ipv6 - Alles was du nicht explizit öffnest ist aus dem Internet geschlossen und der enizige Unterschied für dich als Otto-Nlam-User ist dass du dir das Geschiss mit dem Portforwwarind sparen kannst was etwas mühsam wird wenn mehr als ein gerät Port 443 nach aussen offen haben soll
> * höherer datenschutz ipv4: keine macadresse in der adresse (keine zusatzdienste zur anonymisierung notwendig)
Hinzu kommt, daß Geräte auch mit eingeschalteter Privacy-Extension diese unter Umständen nicht verwenden. Gerade Linux ist da nen Bitch.
Obwohl alle meine Geräte ausschließlich mit eingeschalteter Privacy-Extension im Netz sind, benötige ich in der Firewall unbedingt die folgenden Einträge:
-A FORWARD -m eui64 -j NFLOG --nflog-prefix EUI-64-FORWARD --nflog-group 1
-A FORWARD -o eth0 -m eui64 -j log_REJECT
Regelmäßig sehe ich, wie Linux-Geräte es trotzdem versuchen.
> * deutlich reduzierte komplexität: …
Korrekt.
Meine IPv6-Firewall ist deutlich komplexer als die IPv4-Firewall obwohl auf IPv4-Ebene mehr Ausnahmen drin sind. Dieses ganze rum-ICMP-le und stateless-Zeugs machen das Zeugs fast nicht beherrschbar.
> nen Bitch
Oh scheiße!
Wow - da stellt der geneigte Leser fest, dass Du von Netzwerktechnik, Netzwerksicherheit und dem Internetprotokoll v4/v6 keine Ahnung hast.