Re: IPv6 und Clients von außen erreichbar: Meinungsbild?

Fabian Bläse fabian at blaese.de
Mo Apr 29 15:04:32 CEST 2019 

Hallo Michael,

On 29.04.19 09:40, Michael Fritscher wrote:
> F3N hat sich im September letztes Jahres für sein Netz ja ganz klar
> _für_ eine Firewall entschieden (zumindest vorerst). Hier kam auch die
> Idee zweier Präfixe auf. Hier wäre es schön, die Beweggründe zu können,
> um noch fundierter darüber diskutieren zu können.
Hier ging es um die rechtlichen Konsequenzen, wenn jemand mit unseren Adressen unfug hostet, was durch die öffentlichen Adressen ja jetzt möglich wird.
Der Vorstand ist damals wenn ich das richtig in Erinnerung habe (müsste man mal alle Protokolle durchforsten) mit dem Firewall-Vorschlag auf mich zugegangen.
Da das Ausrollen von IPv6 eh schon viel zu lange gedauert hat, haben wir diesen Vorschlag dann ohne weitere Diskussion umgesetzt und die Diskussion auf nach dem Rollout verschoben.

Daher hat der neue Vorstand dann auch einen entsprechenden Beschluss gefasst, als die Ausarbeitung soweit fertig war.

Aktuell ist die Firewall so oder so aus, da sie sich technisch gar nicht so umsetzen lässt, wie wir uns das gedacht haben:
> Um nur neue eingehende Verbindungen blockieren zu können, muss eine stateful Firewall eingesetzt werden. Diese merkt sich ausgehende Verbindungen [1] um daraus resultierende eingehende Verbindungen zu erlauben.
> Damit das funktioniert müssen aber beide Richtungen, also Hin- und Rückweg durch den gleichen Firewallpunkt laufen. Das ist in unserem aktuellen Netzaufbau nicht der Fall.
> Daher habe ich die Firewall jetzt erstmal wieder auf allen Freifunk Border [Routern ..] abgeschaltet.
>
> [1] Verbindung ist hier eigentlich nicht der richtige Begriff. Eher eine Quell/Ziel Adresse, Protokoll und ggf. Port Kombination

Gruß
Fabian



-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://{'listname': 'franken-freifunk.net', 'hostname': 'lists.freifunk.net'}/pipermail/franken-freifunk.net/attachments/20190429/3d05df24/attachment.sig>

Mehr Informationen über die Mailingliste franken