Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
So wie ich das bei IPv4 vertehe, spielt der Router nur dann eine Rolle, wenn die Netzgrenzen überschritten werden. Da jedoch das Präfix vom ISP dasselbe ist wie für den Router und das nachgelagerte Netz ist der Router, für mein Verständnis, neutral und wird gar nicht erst berücksichtigt. Eine FW Regel greift auch nur dann, wenn die Netzgrenze überschritten wird (getestet).
Daher meine Frage, wie die FW konfiguriert werden müsste.
mir geht es um das allgemeine Verständnis.
Im IPv4 Bereich ist es so. Wenn ich zwei Host und eine FW an einen Switch anschließe dann kann ich soviele Regeln wie ich will erstellen, die die Kommunikation der beiden verhindern soll, aber die finden sich immer, da die Netzgrenze bzw, das Paket nicht jeweils exklusiv über die FW läuft... Wie gesagt getestet...
Und bei IPv6 wird sich das genauso verhalten, nehme ich stark an. Daher meine Vermutung das der Router/FW somit neutral ist. Daher meine Frage wie kann/muss man eine FW einrichten/einsetzen wenn das Präfix für das interne Netz vom Router verteilt wird...
Im IPv4 Bereich ist es so. Wenn ich zwei Host und eine FW an einen Switch anschließe dann kann ich soviele Regeln wie ich will erstellen, die die Kommunikation der beiden verhindern soll, aber die finden sich immer, da die Netzgrenze bzw, das Paket nicht jeweils exklusiv über die FW läuft... Wie gesagt getestet...
Die Firewall hat an ihren unterschiedlichen Ports aber auch unterschiedliche (oder keine) Präfixe, da kommt es schon auf die genaue Länge an. Wenn sie das nicht hätte, wäre es keine richtige Firewall.
Die Geräte müssen trotzdem über den Router, egal welches Protokoll genommen wird. In v6 nimmst du auch ne Freischaltung vor, heißt dein Router leitet einfach weiter, wenn eine entsprechende Regel existiert. Falls nicht, wird das Paket eben verworfen und nicht weitergeleitet. Also genau das, was eine Firewall eben machen soll.
ich habe doch geschrieben, ich bekommen genau ein Präfix von einem ISP...
Somit sind alle Geräte im selben Netz, da findet keine Paketfilterung statt.
Daher ja die Frage, was man ggf. tun kann.
Meine Vorstellung ist. Ich verwende im lokalen Netz ein Präfix A. Der Router bekommt vom ISP Präfix B und da der Router nun mal dazu geboren ist Netze zu verbinden, dann kennt er beide Netze und ich kann FW Regeln definieren die auch angewendet werden.
Wäre das eine Lösung?
(Dann wäre Teil 1 Grundlage erstmal beantwortet :-)
@Tino77 Hast Du das gesagt? Es geht bei dir etwas durcheinander.
Wie auch immer, es gibt da kein Sicherheitsproblem. Wenn Du nur einen Präfix bekommst, dann kannst Du IPv6-technisch auch nur ein IPv6 Netz aufbauen (GUA). Bei einem einfachen Router hast Du i.d.R. eh nur ein Netz. Mit einer dedizierten Firewall, die auch routet, kannst Du den einen Präfix dann ebenfalls nur auf eines deiner evtl. vielen Netze verteilen.
So oder so, es muss durch die Firewall und wird dort geregelt.
Du teilst deinen Endgeräten doch mit der Angabe "Gateway" (Router) mit, worüber sie den Traffic routen soll. Da so der gesamte Traffic über den Router läuft, kann er auch die Verbindungen per FW blockieren. Das sollte doch auch klappen, selbst wenn alle Endgeräte inkl. deines Routers im gleichen Netz sind / den gleichen Prefix haben, oder? (Vielleicht ist das jetzt auch totaler Blödsinn von mir, mit diesen Routing-Geschichten tue ich mich schwer)
Tino77 schrieb:
Meine Vorstellung ist. Ich verwende im lokalen Netz ein Präfix A. Der Router bekommt vom ISP Präfix B und da der Router nun mal dazu geboren ist Netze zu verbinden, dann kennt er beide Netze und ich kann FW Regeln definieren die auch angewendet werden.
Innerhalb des Netzes natürlich nicht. Das ist bei IPv4 genauso.
Pakete, die den Router aber in Richtung Provider verlassen oder vom Provider kommen, gehen in ein anderes Netz.
Ich bin mir nicht sicher, ob ich die Frage korrekt verstehe.