[hannover] Ausleiten von IPv6: Firewall für eingehende Verbindungen?

[Juergen Fitschen]

Hallo Freifunker aus Hannover!

Wir sind kurz davor, nicht nur in das Internet von gestern (IPv4), sondern auch in das Internet von heute (IPv6) einzutreten. (Übrigens sogar noch vor dem Institut für Kommunikationstechnik, das eine Vorlesung zum Thema „Future Internet“ anbietet.) Bisher haben wir nämlich nur s.g. ULA-Adressen im Block fdca:ffee:8::/64 verteilt, die nur FFH-intern erreichbar sind und somit keine Kommunikation mit dem Internet erlauben. Das wird sich in Kürze ändern! \o/

Daher möchte ich gerne eure Meinungen hören zum Thema:
Wie gehen wir mit eingehenden Verbindungen um?

Bisher ist es so, dass wir technisch bedingt nicht aus dem Internet erreichbar sind. Es funktioniert alles nur in der Richtung FFH -> Internet, da sich alle Nutzer sehr wenige öffentliche IPv4-Adressen teilen müssen. Das merkt man daran, dass die Statusseiten der Freifunk-Router nur intern erreichbar sind. Diese technische Hürde gibt es bei IPv6 nicht mehr: Unser Adressraum ist so unvorstellbar groß, dass jeder eine öffentliche IP-Adresse erhalten wird und sie sich mit niemanden teilen muss. Das ermöglicht, dass die Geräte im Freifunk-Netz auch von außen erreichbar sind.

Verhindern kann man das mit einer Firewall, die entweder auf dem Gerät selber betrieben wird oder auf dem Gateway, durch das wir unsere Verbindung ins Internet erlangen. Die zweite Lösung schützt Nutzer, die sich nicht ihr System verkonfiguriert haben (alle aktuellen Betriebssysteme haben standardmäßig eine Firewall aktiv), jedoch stört es Nutzer, die genau diese Konnektivität haben möchten.

Was denkt ihr? Ich sehe folgende Optionen:
- Keine Firewall auf dem Gateway betreiben und somit alles standardmäßig erreichbar machen? Das hat den Vorteil, dass das Netz vollkommen transparent ist und es dem Nutzer überlassen bleibt, ob er Dienste nach außen anbietet. Freifunk Darmstadt und Freifunk Essen betreiben bspw. ihre Netze so.
- Firewalling auf dem Gateway. Das verhindert, dass Nutzer selbst wenn sie wollen nicht aus dem Internet erreichbar sind. Ggf. kann man ein Whitelisting einführen. Aber auch das ist eher fragwürdig umsetzbar, da wir schwer überprüfen können, ob ein anfragender Nutzer wirklich aktueller Inhaber der freizuschaltenden IP ist.

Ich persönlich tendiere zur Möglichkeit 1, da Freifunk bereits jetzt mit seinen bis zu 2000 gleichzeitigen Nutzern kein „geschützter Raum“ ist. Ich finde es sexy, einen Server einfach so im FFH betreiben zu können, der ohne Blockaden aus dem Internet erreichbar ist.

Viele Grüße
Jürgen