Mageia Forum

[Bequimao]

Hallo,

IPv6 scheint nicht vorkonfiguriert. Alle Ports sind offen:

Code: Alles auswählen

root@localhost log]# ip6tables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Ich erinnere mich nicht, ob ich im MCC die Firewall aufgerufen habe. Möglicherweise habe ich dort abgespeichert, um die Meldungen zu Portscans auszuschalten. Soweit ich mich erinnere, muß man im Dialog erst einmal abspeichern, um zu diesem Dialog zu kommen. Einstellungen geändert habe ich in jedem Fall keine.

Viele Grüße
Bequimão

[wanne]

Alle Ports sind offen:

Nein,alle Ports auf die ein Programm hört sind offen. Und das ist auch sinnvoll.
Wenn du das Programm slbst gestartet hast dann willst du ja wohl auch dass es kommuniziert.
Wenn nicht dann ist da jemand, der es achfft ein programm auf deinem PC auszuführen und du meinst ernsthaft das der dann zu böd ist um ein ncat -6 -u -s [PORT] auszuführen um aus der durch die Firewall blockierten eingehenden Verbindung eine ausgehende zu machen?
Diese dämliche portplokiererei (alias NAT) ist für IPv4 entwickelt worden, damit man mehrere Rechner hinter einer IP aben kann und im nachhinein hat man's dann als sicherheitsfeauture verkauft, weil sich das besser anhört. Sinn macht das im allgemeinen wenig macht aber beispielsweise Torrent und Internettelefonie kaputt.
Deswegen ist die Konfiguration so wie sie ist sinnvoll. Wer irgend welchen woodo haben will kann sich den natürlcih nachröglich konfigurieren.

[man-draker]

IPv6 scheint nicht vorkonfiguriert. Alle Ports sind offen:

Und?

Das ist nur relevant, wenn du
entweder
- über eine IPv6-Verbindung ins Internet gehst
- und keinen Router hast der alle Kontaktaufnahmen von außen unterbindet
oder
- du in einem nicht vertrauenswürdigen IPv6-LAN unterwegs bist.

Welcher Fall trifft auf dich zu?

[Bequimao]

man-draker,
ich benutze tatsächlich keinen Router, sondern ein Kabelmodem ohne Firewall. Ich bin nicht um die Sicherheit meines Systems besorgt, sondern wundere mich über den Unterschied.

wanne,
Es ist mir klar, daß kein Risiko besteht, solange kein Programm da ist, was auf einen Port lauscht (Listener). Debian kommt ohne vorkonfigurierten Firewall, und ich glaube auch Ubuntu. Dann ist eigentlich auch die Firewall für IPv4 überflüssig. ncat war mir bisher unbekannt. Aber wenn ein Eindringling Programme ausführen kann, ist es sowieso zu spät. Da braucht er also nicht einmal root zu werden.

Viele Grüße
Bequimão

[man-draker]

ich benutze tatsächlich keinen Router, sondern ein Kabelmodem ohne Firewall.

Und? Ist es ein IPv4-Zugang oder IPv6?

[Bequimao]

In Debian (siduction) wird mir beides angezeigt. Der Provider ist KabelBW. Unter Mageia 3 wird mir nur eine IPv4-Nummer angezeigt. Wie teste ich, ob IPv6 aktiv ist?

Bequimão

[alf]

Einfach mit ifconfig, wenn dir das eine IPv6-Adresse anzeigt, ist's aktiv.

[man-draker]

Einfach mit ifconfig, wenn dir das eine IPv6-Adresse anzeigt, ist's aktiv.

Ach ja?

Code: Alles auswählen

eth0      Link encap:Ethernet  Hardware Adresse 00:1A:92:59:5E:E7 
          inet Adresse:10.0.0.1  Bcast:10.255.255.255  Maske:255.0.0.0
          inet6 Adresse: fe80::21a:92ff:fe59:5ee7/64 Gültigkeitsbereich:Verbindung


Habe ich nun IPv6 aktiv?

(Wenn T-Online IPv6 liefern würde, hätten sie das durch die ganze Republik gekräht, da bin ich mir ganz sicher.
Beruhigend ist insoweit:

Code: Alles auswählen

[root@linserv ~]# ping6 heise.de
connect: Das Netzwerk ist nicht erreichbar
[root@linserv ~]#


Auch die magische Aufrüstung meines Modems und Routers auf IPv6-Fähigkeit wäre eine starke Sache. )

[alf]

Ach ja?

Code: Alles auswählen
eth0 Link encap:Ethernet Hardware Adresse 00:1A:92:59:5E:E7
inet Adresse:10.0.0.1 Bcast:10.255.255.255 Maske:255.0.0.0
inet6 Adresse: fe80::21a:92ff:fe59:5ee7/64 Gültigkeitsbereich:Verbindung

Habe ich nun IPv6 aktiv?

ja wird ja in ifconfig angezeigt.
Meine Fritzbox beherrscht IPv6 und vergibt auch entsprechende Adressen, wenn ich sie nicht explizit daran hindere

[doktor5000]

Das ist eine link-lokale IPv6 Adresse, die hat jeder Adapter, der IPv6 kann. Prinzipiell das gleiche wie eine APIPA-Adresse / Zeorconf (169.254.x.x).
Daran kannst du noch lange nicht ableiten, ob dein ISP dich per IPv6 anbindet. ping6 ist schon gar nicht verkehrt, aber damit kannst du auch im Zweifelsfall nicht festellen, ob du nativ per IPv6 angebunden bist, oder über irgendeinen Tunnel (Teredo, Isatap, 4to6)

@wanne: Was sagst du?

[alf]

richtig, aber wenn du IPv6 auf dem Router und/oder im OS abschaltest bekommst du auch keine IPv6-Adresse für as network-interface zugeteilt.

Code: Alles auswählen

[root@kre010 alfred]# ifconfig
eth0      Link encap:Ethernet  Hardware Adresse DC:0E:A1:A5:E8:52 
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
          Interrupt:16

lo        Link encap:Lokale Schleife 
          inet Adresse:127.0.0.1  Maske:255.0.0.0
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:2594 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2594 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0
          RX bytes:1183635 (1.1 MiB)  TX bytes:1183635 (1.1 MiB)

wlan0     Link encap:Ethernet  Hardware Adresse 08:ED:B9:6B:B5:97 
          inet Adresse:192.168.178.46  Bcast:192.168.178.255  Maske:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:16435 errors:0 dropped:1 overruns:0 frame:0
          TX packets:11125 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:9516863 (9.0 MiB)  TX bytes:1971816 (1.8 MiB)


IPv6 sowohl auf der FB als auch in Mageia deaktiviert.
Würe wohl auch reichen das in der FB zu deaktivieren..

BTW wie AP/Router und ISP das aushandeln hat doch mit dem Intranet nichts zu tun

[man-draker]

BTW wie AP/Router und ISP das aushandeln hat doch mit dem Intranet nichts zu tun

Bequimao nix Router, also nix Intranet.

[alf]

BTW wie AP/Router und ISP das aushandeln hat doch mit dem Intranet nichts zu tun

Bequimao nix Router, also nix Intranet.

trotzdem, wenn er IPv6 nicht aktiviert hat gibt's auch keine entsprechene Adresse. Kann ich aus eigener Erfahrung mit UMTS-Stick behaupten.

[doktor5000]

Ipv6 ist standardmäßig aktiviert wenn ich mich recht erinnere.

[alf]

ja, aber man kann es abschalten

[man-draker]

Ipv6 ist standardmäßig aktiviert wenn ich mich recht erinnere.

Ist so korrekt.
So wird es auch beim OP sein.
Die wirklich interessante Frage ist aber, ob bei ihm je in IPv6-Paket ankommen wird.
Dazu müsste er schon mit IPv6 an seinen Provider angebunden sein.

[alf]

Also, wenn ich IPv6 in Mageia aktiviert habe, bekomme ich auch vom ISP(via UMTS-Stick) eine IPv6-Adresse(neben einer IPv4-Adresse). Ob auch das entsprechende Protokoll verwendet wird, hab ich allerdings noch nicht überprüft

ehrlich gesagt, hat mich das auch noch nicht wirklich interessiert

[man-draker]

Also, wenn ich IPv6 in Mageia aktiviert habe, bekomme ich auch vom ISP(via UMTS-Stick) eine IPv6-Adresse(neben einer IPv4-Adresse). Ob auch das entsprechende Protokoll verwendet wird, hab ich allerdings noch nicht überprüft. ehrlich gesagt, hat mich das auch noch nicht wirklich interessiert

Nun ja, sollte das Protokoll vom ISP eines Tages aktiviert werden, wäre es schon interessant vorher zu wissen, ob die MS-Dienste und MySQL plötzlich übers Internet erreichbar sind.

[alf]

un ja, sollte das Protokoll vom ISP eines Tages aktiviert werden, wäre es schon interessant vorher zu wissen, ob die MS-Dienste und MySQL plötzlich übers Internet erreichbar sind.

Da ist was dran, allerdings, wenn ich über den Stick ins I-Net gehe aktiviere ich schon die Firewall. Denn da ist ja sonst keiner der aufpasst.

[man-draker]

Da ist was dran, allerdings, wenn ich über den Stick ins I-Net gehe aktiviere ich schon die Firewall. Denn da ist ja sonst keiner der aufpasst.

Die verschließt dann auch die Ports für IPv6?
Würde sich evtl. lohnen, das mal zu überprüfen.

[wanne]

Ich finde es Sinnvoll so:
IPv4 ist schon kaputt und wenn man dann nochmal ne Firewall weil ein paar zu blöd sind ihren lokalen mysql-Server so zu konfigurieren, dass er nur lokal auslifert - meinetwegen. (Die Windowsuser sind das im Übrigen nicht da sind die Standardeinstellungen mittlerweiel überall so dass alles nur lokal läuft und die meinen dann das das Sicher sei. (Deswegen ist das ja so lustig wenn man mal in nem fremden Netzwerk mit vielen Windows Rechnern drin ist.)

IPv6 dagegen ist noch nicht all zu kaputt. Man könnte da neu anfangen und die ganzen Schrott rund um IPv4 wegwerfen. (Ich genbe auf zu erklären was für neue Möglichkeiten IPv6 bieten würde das ist als wollte man nem Steinzeitmenschen erklären warum er das internet haben will.)
Aber eins kann ich auf jeden Fall sagen. Das die Nutzung von IPv4 so kaputt war und im Prinzip nur "Ausgehende" TCP verbindungen zugelassen hat. Hat garantiert mehr Sicherheit gekostet als es gebracht hat. Bitte zerstört IPv6 nicht bevor es die chance hatte sich zu verbreiten.
Der erste Teildazu ist mit den Privacy-Extentions, die in ersterlinie die Privatshäre kaputt machen schon gemacht.

Und resourcen gefressen hats im Übrigen auch ohne Ende.

[man-draker]

Ich finde es Sinnvoll so:
...
Und resourcen gefressen hats im Übrigen auch ohne Ende.

Hm, so mal eben drüber geschrubbt, versteht das hier kein Mensch.
Es sei denn, er hätte z.B. alle c't-Artikl zu dem Thema gelesen und verinnerlicht.
Und ansonsten gehört das IMHO in den Sandkasten.

[Bequimao]

Um mich auch mal wieder einzumischen: Ich habe eine IPv6-Adresse unter Mageia 3.

Code: Alles auswählen

root@localhost bequimao]# ifconfig
eth0      Link encap:Ethernet  Hardware Adresse 00:26:18:2D:3C:E4 
          inet Adresse:109.192.xxx.xxx  Bcast:109.192.203.255  Maske:255.255.252.0
          inet6 Adresse: fe80::xxx:xxxx:xxxx:xxxx/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:43012 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3757 errors:0 dropped:0 overruns:0 carrier:1
          Kollisionen:0 Sendewarteschlangenlänge:1000
          RX bytes:8343367 (7.9 MiB)  TX bytes:401082 (391.6 KiB)


Wenn ein Distro ohne Firewall ausliefert, übernimmt sie dann die Aufgabe, daß MySQL und alle 1000 anderen Programme nicht von außen erreichbar sind. Denn ich habe nicht die Zeit, mich in Netzwerke und Sicherheit einzuarbeiten. Dabei bin in beruflich Programmierer und IT-Profi, aber das Thema erfordert einen (zusätzlichen und unbezahlten) Fulltime-Job. Daneben kann ein Anwender noch Programme von Fremd-Repos runterladen und installieren. Dann geht es nicht nur um meine Kiste. In Ostasien ist IPv6 bereits jetzt Standard. Ich habe übrigens auch mindestens 2 Jahre das Kabelmodem genutzt, ohne daß ich mir über das Fehlen der Firewall im Klaren war. Performance ist mir auch egal. Subjektiv merke ich keinen Unterschied, mit oder ohne Firewall, also auch keinen Anlaß, mich darum zu kümmern.

Viele Grüße,
Bequimão

[wanne]

Wenn ein Distro ohne Firewall ausliefert, übernimmt sie dann die Aufgabe, daß MySQL und alle 1000 anderen Programme nicht von außen erreichbar sind.

Sie macht sogar mehr sie liefert die Programme sugar so aus wie es die meisten Leute für sinnvoll erachten. Ein Webserver oder Torrentclient ist standardmäßig von außen erreichbar, weil man das im Normalfall so will. Boinc standardmäßig nicht. Im normafall machen die Meisten Linux-Prgramme, die nicht von außen aus erreichbar sein wollen sowieso keine IP kommunikation sondern nutzen die effizienteren UNIX-Sockets. mysql ist da einige der wenigen ausnahmen. Und auch das ist standardmäßig so konfiguriert, dass es nicht von außen erreichbar ist. (Wenn du es über die Paketverwaltung installierst startet er sich glaube ich gar nicht erst automatisch.)
Ich würde sagen, dass du lange nach OSS suchen musst, die von außen erreichabr ist, obwohl die meisten Leute die es installieren das nicht will. Das einzige Programm von dem mir ein solches Verhalten Bekannt ist ist Visual Studio. Und das ist im Linux-Bereich nicht so wirklich verbreitet.
Und mit resourcenverschwendug meine ich nicht auf deinem Rechner sondern hunderte von millionen Home-Router, die Leistungsfähig genug sein müssen, um sich alle Verbindungen zu merken damit meine ich die Millionen von Server, die nichts anderes machen als zwischen 2 Rechnern zu stehen, damit beide eine ausgehende Verbindung haben. Damit meine ich aber vor allem die zusätzliche Bandbreite die für diese Umleitung verschwendet wird. Und natürlich die Wartezeit für TCP-Verbindungen die ohne die entsprechenden Frirewalls durch SCTP ersetzt werden könnten.

[doktor5000]

@Bequimao: Wie weiter oben schonmal erwähnt:

Das ist eine link-lokale IPv6 Adresse, die hat jeder Adapter, der IPv6 kann. Prinzipiell das gleiche wie eine APIPA-Adresse / Zeorconf (169.254.x.x).

Die ist zwingend erforderlich, etwa für das Neighbour Discovery Protocol und DHCPv6 und ein paar der Routing-Autokonfigurationsmechanismen von IPv6.
Pakete die von so einer Adresse kommen, können etwa nicht ins Internet geroutet werden, um es mal einfach auszudrücken. Wozu also eine Firewall?

Das Argument mit dem Sicherheits-Experten ist da vollkommen fehl am Platz. Du hast anfangs doch angemerkt, warum denn "alle Ports unter IPv6 offen wären,
obwohl doch eine Firewall läuft". Dann wurde dir erklärt, dass das keinen Sinn macht. Jetzt willst du aber wieder die Firewall als Rundum-Sorglos-Paket, da man sich
dann ja beruhigt zurücklehnen kann.

Wenn man aber die grundlegende Funktion nicht verstanden hat, aber trotzdem Serverdienste betreibt, sollte man sich auch nicht aufregen, m.E.
Und normalerweise sollten die Grundkonfigurationen von Serverdiensten sowieso nur den Zugriff von localhost erlauben.