93630
Mar 07, 2018, updated at 18:45:56 (UTC)
2719
8
0
IPv6 mit oder ohne NAT betreiben?
Guten Tag,
mal angenommen Ihr betreibt ein Firmennetzwerk mit vielen Desktops für die Anwender. Der Internetzugang erfolgt über einen Router der vom ISP einen öffentlichen IPv6 Bereich bekommt.
Die Desktops müssen selbst nicht vom Internet aus erreichbar sein, sondern nur ins Internet kommen.
Würde ihr in diesem Fall den Desktops Link-Local-Adressen geben und sie per NAT vom Internet isolieren oder würdet ihr jedem Desktop eine öffentliche IP zuweisen?
Bitte mit Begründung!
Nachtrag: Der Router hat natürlich eine SPI-Firewall eingebaut! Die Unabhängig davon ob NAT oder kein NAT den eingehenden Traffic blockt.
mal angenommen Ihr betreibt ein Firmennetzwerk mit vielen Desktops für die Anwender. Der Internetzugang erfolgt über einen Router der vom ISP einen öffentlichen IPv6 Bereich bekommt.
Die Desktops müssen selbst nicht vom Internet aus erreichbar sein, sondern nur ins Internet kommen.
Würde ihr in diesem Fall den Desktops Link-Local-Adressen geben und sie per NAT vom Internet isolieren oder würdet ihr jedem Desktop eine öffentliche IP zuweisen?
Bitte mit Begründung!
Nachtrag: Der Router hat natürlich eine SPI-Firewall eingebaut! Die Unabhängig davon ob NAT oder kein NAT den eingehenden Traffic blockt.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 367226
Url: https://administrator.de/contentid/367226
Printed on: April 18, 2024 at 13:04 o'clock
8 Comments
Latest comment
Zitat von @93630:
Würde ihr in diesem Fall den Desktops Link-Local-Adressen geben und sie per NAT vom Internet isolieren oder würdet ihr jedem Desktop eine öffentliche IP zuweisen?
Bitte mit Begründung!
Würde ihr in diesem Fall den Desktops Link-Local-Adressen geben und sie per NAT vom Internet isolieren oder würdet ihr jedem Desktop eine öffentliche IP zuweisen?
Bitte mit Begründung!
Jeder bekommt seine eigene IPv6-Adresse mit der er nach außen kommuniziert. NAT ist eine Krücke die nur der IPv4-Adressknappheit geschuldet ist und unnötige Probleme verursacht und kein Sicherheitsfeature.
Du kannst ggf. die Privacy-Extensions aktivieren, wenn Du Dich sonst unwohl fühlst.
lks
Also da sowieso nur ein Router und keine Firewall dazwischen hängt ist es sowieso quasi egal.
Der Router hat natürlich eine SPI-Firewall eingebaut! Die Unabhängig davon ob NAT oder kein NAT den eingehenden Traffic blockt.
Auch den ausgehenden bzw diesen filtert?
Ja.....
Es geht nur darum ob es Sinn macht das interne Netz durch NAT zu verschleiern oder ob man bei IPv6 lieber auf NAT verzichten sollte da es ja auch Nachteile hat.
Es geht nur darum ob es Sinn macht das interne Netz durch NAT zu verschleiern oder ob man bei IPv6 lieber auf NAT verzichten sollte da es ja auch Nachteile hat.
Zitat von @93630:
Ja.....
Es geht nur darum ob es Sinn macht das interne Netz durch NAT zu verschleiern ...
Ja.....
Es geht nur darum ob es Sinn macht das interne Netz durch NAT zu verschleiern ...
security by obscurity funktioniert nicht.
Und was genau willst Du verschleiern. Wenn Deine Firewall korrekt konfiguriert ist, kann keiner von außen Dein Netz scannen. Und wenn Du von innen nach außen Verbindungen aufbaust, sehen die Zielsystem ohne weiteres, von wievielen System aus Du drauf zugreifst.
lks
Moin,
Die Antwort gibt dir die Linux Foundation im Detail:
https://www.linux.com/learn/intro-to-linux/2017/7/building-ipv6-firewall ...
Grobe Zusammenfassung, wie auch bereits bei meinen Vorrednern: NAT ist ein Behelfskonstrukt aus IPv4 Zeiten um die verbleibenden IP Adressen zu strecken. Somit in IPv6 obsolet.
Auf Clients einfach die privacy extensions anschalten, falls nicht ohnehin schon an, und schon kannst du Glücklich sein.
PS: Deine Clientfirewall sollte unabhängig davon ob du eingehenden Datenverkehr bereits an der zentralen Firewall"/Gateway blockst oder nicht, so eingestellt sein, dass auch wenn du es nicht tust, der Client keine Probleme bekommt. Immerhin kommt nicht jeder potentielle Angriff von Außen ;)
Gruß
Chris
Die Antwort gibt dir die Linux Foundation im Detail:
https://www.linux.com/learn/intro-to-linux/2017/7/building-ipv6-firewall ...
Grobe Zusammenfassung, wie auch bereits bei meinen Vorrednern: NAT ist ein Behelfskonstrukt aus IPv4 Zeiten um die verbleibenden IP Adressen zu strecken. Somit in IPv6 obsolet.
Auf Clients einfach die privacy extensions anschalten, falls nicht ohnehin schon an, und schon kannst du Glücklich sein.
PS: Deine Clientfirewall sollte unabhängig davon ob du eingehenden Datenverkehr bereits an der zentralen Firewall"/Gateway blockst oder nicht, so eingestellt sein, dass auch wenn du es nicht tust, der Client keine Probleme bekommt. Immerhin kommt nicht jeder potentielle Angriff von Außen ;)
Gruß
Chris
überleg dir ob ein Proxy nicht auch eine Lösung wäre.
Du sparst Dir u. U. Traffic und Bandbreite. Verbesserst die Antwortzeiten und Du kannst über access-control-liste sehr bequem die bösen Kerl etwas aussperren.
Du sparst Dir u. U. Traffic und Bandbreite. Verbesserst die Antwortzeiten und Du kannst über access-control-liste sehr bequem die bösen Kerl etwas aussperren.
