[erledigt] IPV6 Privacy Extensions,doch ein großer Nachteil?

[boospy]

Hallo Leute,
habe jetzt bei meinem Gentoo die Privacy Extensions eingeschaltet. Dann bin ich draufgekommen das ich auf sämtliche Firewalls, und Mysqldatenbanken nicht mehr drauf komme. Jetzt verstand ich auch, warum ich bei den Ubuntus immer solche Probleme hatte.

Da nach aussen ja eine andere IP genutzt wird, als die reale öffentliche, wo dann z.B. diese Adresse als trustet in einen MYSQL oder Firewall eingetragen ist.

Meine Frage: Ist das so, geht das dann nicht mehr mit der Privacy Extensions oder gibt es dafür eine Option? Vermutlich nicht, sonst hätte es wohl keinen Sinn.

lg
boospy

[misterjack]

nun ja, du hast ein nutztungsverhalten, welches sich vom otto-normal-surfer unterscheidet, daraus ergeben sich für dich nachteile.
entweder du gibts bei den diensten dein komplettes subnet frei oder verzichtest eben auf privacy extensions
_________________
„Meine Meinung steht fest! Bitte verwirren Sie mich nicht mit Tatsachen.“

[py-ro]

Oder sagst deinem System, dass es beim Zugriff auf die genannten Server eine bestimmte IP-Adresse als Quelle nimmt.

[ChrisJumper]

[boospy]

Hallo Leute,

vielen Dank für eure Antworten, so was in der Art hatte ich mir schon gedacht. Aber ok.

[ChrisJumper]

Also ich gebe zu das ich mir diese Option vorstellen kann: Benutze eine bestimmte IP für einen Dienst/Protokoll/Thread. Mit Opensource fallen mir aber nur Lösungen ein die in die Applikation gehackt werden, wo die IP fest angegeben wird.

Alternativ stehen dem noch ziemlich fiese Firewall Regeln über so etwas wie: Wenn von der MAC Adresse ein Paket mit dieser Zieladresse vorbei kommt, tausche die Absenderadresse gegen folgende aus. Andersherum bei eintreffenden Paketen.

Das blöde ist aber doch scheinbar das IPv6 eben KEIN NAT haben will. Was ich ja auch verstehen kann.

Es gibt da andere Möglichkeiten, wenn ich nicht falsch liege ist das eben eine Unicast Verbindung, bin aber auch nicht sicher ob das lediglich 1 Hop impliziert, oder auch mehrere Hops haben darf. OK, laut einer MS Seite darf es über mehrere Hops gehen und hier ist auch keine Verschlüsslung gemeint. Verwirrt mich trotzdem und ich denke nicht das sich das privat nutzen lässt, weil RIPE wohl die Adressräume vergibt und man das nicht einfach so Nutzen sollte.

boospy, es ist jetzt mit Kanonen auf Spatzen geschossen aber halt ein Tunnel erledigt ja auch diese Variante. Ich dachte auch noch an einen Netzwerksocket mit der festen IPv6/Mac Adresse.

Ich habe aktuell selber noch nicht verstanden wer im IPv6 Netzwerk garantiert das keine Adress-Kollision vorliegt. Ich dachte immer der radvd, aber es müsste wohl auch berücksichtigt werden wenn der Admin der Netzwerkkarte eine feste Adresse aus dem Pool zuweist.

Im Grunde wäre es ja ganz einfach wenn der root oder Nutzer, einer Bestimmten Applikation sagen könnte: Nutze diese Adresse. Mich verwirrt das es da kein Tool für gibt. Natürlich kann man ein Device Alias verwenden (eth0:0).. aber sowohl die Programme sind darauf ausgelegt das der Netzwerklayer Abstrakt genutzt wird, als auch der Kernel/Netzwerkstack hat doch eine automatische Last-Verteilung integriert. Informationen wie man jetzt eine bestimmte Adresse da herausnehmen kann, OHNE diese komplett in einen anderen Routingbereich/Subnet zu legen ist mir aktuell noch Schleierhaft.

Jede dieser Ideen erscheint mir irgendwie seltsam. Gibt es denn keinen Deamon der so etwas macht? Oder haben die ganzen Virtuellen Netzwerk-Technologien dieses Bedürfnis überflüssig gemacht. Wer braucht schon VLAN wenn man es mit VPN machen kann..?

Teilweise für die Programm-Ebene erscheint es noch einfacher einen Socket zu Programmieren und den zu nutzen.

[py-ro]

[boospy]

Ok, ich verstehe. Ich werde wohl auf diese Extension verzichten. Und ja, is wohl ganz sicher für den Otto normal Verbraucher gedacht. Macht wohl direkt in der IT nicht viel Sinn. Und ausserdem, bei IPV4 hatte ich das auch nie, und hat auch gepasst.

Danke und lg
boospy

[ChrisJumper]

Die Situation ist aber anders als bei IPv4.

Zum einen hat man da die IP Adresse vom Provider die sich mal ändern kann. Dann gab es da noch NAT, somit wurden die Adressen der Geräte hinter dem Router quasi verschleiert.

Bei IPv6 sollte man aber die Privacy Extension schon aktivieren weil alle deine Geräte OHNE diese Aktivierung quasi die selbe MAC-ADRESSE mit einem andern Präfix bekommen egal von wo aus sie sich einloggen. Demnach würde ich sie bei verschiedenen Geräten trotzdem aktivieren. Aber man muss sich genau überlegen wo das Sinn macht.

Stell dir einfach Vor dein Handy hat je nach Land in dem du dich befindest eine andere Vorwahl mehr nicht. Eventuell kommt jemand auf die Idee zu probieren ob diese IP-Adresse mit dem Präfix sich woanders meldet. Also als versucht jemand dein Handy in jedem Land mit einer andren Vorwahl zu erreichen. Dann sind Portscans wieder möglich. Zuvor war es ja seltsam bezüglich der theoretischen Adressraumgröße.

Bezüglich Serveranwendungen ist das was anderes. Aber sowohl für das Interne Netz das nach draußen Kommuniziert als auch Geräte die sich bevorzugt in verschiedenen Netzen anmelden sollte man das schon setzen.

Grüße

Chris