Hi!

Ich hab gerade vor meinen Linux Router (läuft noch mit nem 2.4er) IPv6 Tauglich machen. Das entsprechende Tool - ip6tables - hat er auch. Nur die NAT-Regeln will er nicht schlucken :(
Er kennt kein "nat" Modul. Hab nun schon im Internet schon ein bisschen geschaut. Dort finde ich, dass ip6tables noch kein Nat unterstützt. Allerdings hab ich keine Ahnung, wie alt diese Meldungen nun schon sind.

Kann mich einer da mal über den aktuellen Stand der Dinge aufklären? Ist NAT mit der neusten Kernel - also dadurch neuesten ip6tables Version (ich hab ip6tables 1.2.8 und Kernel 2.4.24) möglich? Und wenn ja, ab welcher?

Noch ein kleiner Hinweis:

So wies aussieht war mein Router nun schon Jahre lang unsicher:

Schaut euch mal das an:



Router#>ip6tables -L INPUT
Chain INPUT (policy ACCEPT)
target prot opt source destination


Standardmäßig hat die IPv6 Input Chain die Pollice ACCEPT, was ja soviel heißt wie akzeptieren und zwar alles! Wer also so blöd war wie ich und seinen Routerkernel mit IPv6 Support kompiliert hat (die von SuSE sind das auch) haben so wie ich, ne offene Tür.

Wer noch kein Ipv6 verwenden möchte, kann in sein Firewallscript das einfügen:



Router#>ip6tables -P INPUT DROP


Mfg
TheNewNewUser

Wofür braucht man bei IPv6 bitteschön NAT? Da gibt es soviele Adressmöglichkeiten das man das gepfriemel mit Portforwarding etc weglassen kann.

Ausserdem glaub ich kaum dass man IPv6 Pakete empfangen kann wenn man kein Interface dazu hat.

Grüsse, Stefan

hallo!

lies dir mal die manpage zu ipv6 und netfilter durch.
es gibt weder nat noch statefull-filtering für ipv6.

//richard

Hi,

es gibt kein NAT oder ähnliches für IPv6, da es vollkommen nutzlos ist.
Wenn du deinen Router IPv6 tauglich machen willst brauchst du entweder einen IPv6-nativen oder Broker-Gateway Zugang.
Einen nativen Zugang bekommt man in der Regel aber nicht so einfach, ausser für wissenschaftliche Zwecke.

Zum Thema Broker sollte es hier in den Foren genügend Themen finden. Nur soviel dazu: Bei einem Broker werden die IPv6 Pakete über ein Interface in IPv4 Pakete verpacket und über die normale Internetverbindung zum Broker geschickt. Dieser packt die IPv6 Pakete aus, und routet sie weiter.

NAT oder ähnliches ist deshalb nutzlos, da du gleich einen dicken Bereich im IPv6 Adressen zugeteilt bekommst. IPv6 hat zudem einen automatische Konfiguration. Jedes an deinem Router IPv6 kompatible Gerät bekommt automatisch eine Adresse aus diesem Bereich. Diese Adresse ist weltweit einzigartig und ohne jedliches NAT transparent via IPv6 Internet erreichbar. Das bedeutet natürlich ein Sicherheitsrisiko. NAT schützt normalerweise die hinter dem Router liegenden Rechner vor Zugriff aus dem Internet. Bei IPv6 sieht das anders aus, und jedes angeschlossene Gerät sollte einen Paketfilter besitzen.

mfg

Sayonara

es gibt weder nat noch statefull-filtering für ipv6.Es gibt einen conntrack patch für netfilter/ip6tables, aber der scheint noch etwas buggy zu sein. [1]

Gruss,
Dennis

[1] http://lists.debian.org/debian-ipv6/2004/05/msg00018.html

Hi,

es gibt kein NAT oder ähnliches für IPv6, da es vollkommen nutzlos ist.


So sehe ich das nicht! Was ist den dann z.B. mit transparenten Proxys? Und außerdem, selbst, wenn jeder Client im lokalen Netz dann eine IP-Adresse bekommt, was braucht man da für ne neue Technik? Da braucht dann jeder ne Firewall -> Linux no Problem, aber was ist mit Windoof?!
Außerdem, wenn man bei jeder Einwahl neue IPs bekommt, muss man die ja den Clients irgendwie mitteilen. Sag mal einem Windows 98 PC er soll seine IP-Adresse ändern.

-> "Legen Sie die Windows 98 CD ein" -> "Ein Neustart ist erforderlich".

Da muss man dann sicher vorher wieder den neuesten Schrott kaufen. Mir ist das alte System mit NAT viel lieber!

Und falls man dann später feste IPv6s kriegt, die sind doch noch dümmer.
Da haben Hacker und Trojaner es noch viel leichter.

-> NAT auch für IPv6!

Da braucht dann jeder ne Firewall -> Linux no Problem, aber was ist mit Windoof?!


Warum? Du kannst ja auf dem Router die entsprechenden Ports zumachen und nur Verbindungen von innen nach aussen zulassen!
NAT braucht man dazu nun wirklich nicht.

Gruss
Chrigu

Der großer Vorteil ist nunmal, das man jedes Geräte direkt ansprechen kann - sonst kan du auch bei IPv4 bleiben .. den welchen sinn sollte es sonst machen, im Lan IPv6 zu fahren ? Mehr als 4 Mrd. Rechner hat man zuhause eher selten ... :ugly:

@TheNewNewUser

In einigen der von dir genannten Punkten liegt genau das Problem. Durch IPv6 lässt sich jedes Gerät in der LAN über Internet ansprechen, als ob es direkt am Internet angeschlossen würde. Ein hoches Sicherheitsrisiko ist die folge.

Die Windows XP Firewall kann auch IPv6 filtern. Bei älteren Windows Versionen muss man schon auf externe Software zurück greifen. Wobei ich mir aber auch nicht sicher bin, ob es für Windows 98 IPv6 Treiber gibt. Falls ja, dann muss natürlich an dieser Stelle eine vernünftige Firewall her.

Wenn dann in Zukunft IPv6 die ältere Version IPv4 ersetzt und es im gesamten Internet eingesetzt wird, dann sehe ich sowieso schwarz. Bei so vielen Computer DAUs auf der Welt, kann das nur in die Hose gehen und die Cracker und Script-Kiddies haben ihren "Spaß".

Was die IP-Adressvergabe angibt, so hast du darauf keinen Einfluss. Das Protokoll konfiguriert sich selbstständig. Allerdings sind die Adressen nicht so willkürlich wie bei IPv4, sondern es steckt ein System dahinter. Nämlich die MAC Adresse der Netzwerkkarte wird damit einbezogen.
Ich habe die Erfahrung gemacht, das die selbe Netzwerkarte, immer die gleiche IPv6 Adresse bekommt.

IPv6 soll ja auch Möglichekeiten Besitzen, Verbindungen besser abzusichern. Wie das aber im Detail aussieht, weiß ich auch nicht.

Meine Befürchtung ist nur,...wenn eines Tages jeder Internetnutzer seine eigene feste IP hat, ist das profilieren der Personen im Internet kein Problem mehr. Anhand der IP Adresse lassen sich wunderbar Profile über das Surfverhalten der Person machen, da er ja immer mit der gleichen IP Adresse unterwegs ist. Wer dann noch über Internet einkauft, oder seinen Namen und Anschrift irgendwo bei einem Freemail Anbieter oder sonstwo registriert, können die gesammelten Informationen auch mit einer Person direkt verknüpft werden. Und da der Handel mit solchen "Marketinginfomationen" sehr beliebt ist, werden wir alle im Internet immer "gläsernder"......

es gibt kein NAT oder ähnliches für IPv6, da es vollkommen nutzlos ist.


Doch, es gibt schon so was wie NAT für IPv6 und nennt sich TRT (Transport Relay Translator). Es wird gebraucht, wenn man z. B. aus einem IPv6-only Netzwerk Clients ans IPv4-Netzwerk (Internet) anbinden will. Der TRT-Router nimmt dann die v6-Anfragen entgegen und leitet sie ins v4-Netz (und zurück). Hier wird es sehr gut beschrieben:
http://www.join.uni-muenster.de/Dokumente/Howtos/Howto_TRT.php

Doch, es gibt schon so was wie NAT für IPv6 und nennt sich TRT (Transport Relay Translator). Es wird gebraucht, wenn man z. B. aus einem IPv6-only Netzwerk Clients ans IPv4-Netzwerk (Internet) anbinden will. Der TRT-Router nimmt dann die v6-Anfragen entgegen und leitet sie ins v4-Netz (und zurück). Hier wird es sehr gut beschrieben:
http://www.join.uni-muenster.de/Dokumente/Howtos/Howto_TRT.php


Schön und gut, aber ich meinte eigendlich etwas NAT ähnliches nur für IPv6. Das es routing zwischen beiden Protokollversionen gibt, war mich schon klar. ;)