Belgacom: IPv6

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
jelleV
Starter Plus
Starter Plus
Berichten: 40
Lid geworden op: 16 aug 2010, 20:02
Uitgedeelde bedankjes: 1 keer

hallo,
Dit kan voor sommigen misschien een domme vraag zijn maar ik geraak er gewoon niet uit.

Fervente speler van WoW en hier kan je met IPv6 spelen.
Voorheen was dit altijd grijs (omdat ik wist dat ik geen ipv6 kon krijgen hier) maar sinds een dag of twee is dit niet meer grijs dus ik kan in theory IPv6 enablen in het spel. Nu mijn vraag is: heeft belgacom al IPv6 aanstaan en zou ik het uitproberen om het aan te zetten in WoW?
Ik deed een ipv6 test op test-ipv6 en die zei dat het resultaat 0/10 was bij ipv6 (dus echt wel geen ipv6).
Weet iemand hier meer van? (ik heb een internet comfort abo op het 16.5 MB)

Alvast bedankt ;)
digishine
Member
Member
Berichten: 54
Lid geworden op: 07 dec 2010, 22:10
Uitgedeelde bedankjes: 4 keer
Bedankt: 4 keer

IPV6 is nog niet beschikbaar in belgie.
jelleV
Starter Plus
Starter Plus
Berichten: 40
Lid geworden op: 16 aug 2010, 20:02
Uitgedeelde bedankjes: 1 keer

AH kk

Komaan belgacom, we betalen genoeg neen ;)

Bedankt voor het antwoord
Gebruikersavatar
krisken
userbase crew
userbase crew
Berichten: 19763
Lid geworden op: 07 nov 2006, 12:11
Twitter: kriskenbe
Locatie: Massemen - 91WET0
Uitgedeelde bedankjes: 1857 keer
Bedankt: 1035 keer

Ik begrijp dat je ipv6 wenst, ikzelf ben ook vragende partij. Maar wat voor voordeel zou wow hier mee hebben?

Internet = Orange 150/15Mbps + WirelessBelgië
Telefonie = EDPnet + OVH
GSM = Orange Go Extreme SE + Scarlet Red
TV = TVV App + Netflix + Disney+ + Streamz
Netwerk = Mikrotik + Ubiquiti
jelleV
Starter Plus
Starter Plus
Berichten: 40
Lid geworden op: 16 aug 2010, 20:02
Uitgedeelde bedankjes: 1 keer

Geen idee maat, ik weet wat IPv6 doet maar ik weet niet waarom WoW dit zou willen gebruiken

Nu ben ik er eigenlijk wel nieuwsgierig voor want een guild member zei dat hij helemaal geen verschil zag tussen 4 en 6.
Laatst gewijzigd door jelleV 11 jan 2012, 21:47, in totaal 1 gewijzigd.
Gebruikersavatar
meon
Administrator
Administrator
Berichten: 16726
Lid geworden op: 18 feb 2003, 22:02
Twitter: meon
Locatie: Bree
Uitgedeelde bedankjes: 573 keer
Bedankt: 770 keer

digishine schreef:IPV6 is nog niet beschikbaar in belgie.
... Bij Belgacom. EDPnet staat op dat vlak al enkele stappen verder.
lithion
Elite Poster
Elite Poster
Berichten: 2138
Lid geworden op: 21 aug 2006, 13:02
Uitgedeelde bedankjes: 7 keer
Bedankt: 78 keer
Recent bedankt: 1 keer

Zelfs EDPNET biedt nog geen native IPv6 aan.
Gebruikersavatar
Ofloo
Elite Poster
Elite Poster
Berichten: 5271
Lid geworden op: 04 okt 2004, 07:36
Locatie: BALEN
Uitgedeelde bedankjes: 57 keer
Bedankt: 92 keer

maar ze geven wel die indruk 'k snap niet echt wat daar de bedoeling van is.
zaiko2000
Member
Member
Berichten: 89
Lid geworden op: 27 okt 2010, 02:48
Uitgedeelde bedankjes: 3 keer
Bedankt: 15 keer

IPv6 is toch maar ontwikkeld om het tekort aan internet adressen op te lossen en het nieuwe IPv6 heeft een bijna onuitputtelijke voorraad adressen !
De laatste IPv4 adressen waren al opgebruikt.
tonym
Premium Member
Premium Member
Berichten: 484
Lid geworden op: 18 jan 2010, 16:56
Uitgedeelde bedankjes: 3 keer
Bedankt: 41 keer

Ofloo schreef:maar ze geven wel die indruk 'k snap niet echt wat daar de bedoeling van is.
EDPnet heeft toch al 4 maand een IPv6 PoP voor Belgie: https://www.sixxs.net/pops/edpnet/
lithion
Elite Poster
Elite Poster
Berichten: 2138
Lid geworden op: 21 aug 2006, 13:02
Uitgedeelde bedankjes: 7 keer
Bedankt: 78 keer
Recent bedankt: 1 keer

Ze voorzien gewoon een POP voor een IPv6 tunnel. Meer niet. EDPNET heeft wel als enige commerciële ISP een dual stack website. Belgacom en consoorten zijn wel aan het spelen met IPv6, maar heeeeel beperkt.
Gebruikersavatar
depeje
Elite Poster
Elite Poster
Berichten: 818
Lid geworden op: 22 jan 2011, 00:27
Locatie: Brussel
Uitgedeelde bedankjes: 184 keer
Bedankt: 39 keer
Recent bedankt: 3 keer

Ook de websites die bij hun gehost staan en hun mailservers zijn dual stack.
Laatst gewijzigd door depeje 16 jan 2012, 20:10, in totaal 1 gewijzigd.
jelleV
Starter Plus
Starter Plus
Berichten: 40
Lid geworden op: 16 aug 2010, 20:02
Uitgedeelde bedankjes: 1 keer

zaiko2000 schreef:IPv6 is toch maar ontwikkeld om het tekort aan internet adressen op te lossen en het nieuwe IPv6 heeft een bijna onuitputtelijke voorraad adressen !
De laatste IPv4 adressen waren al opgebruikt.
De laatste IPv4 adressen zijn nog niet helemaal opgebruikt hoor. Ergens gelezen dat er nog een paar 10 duizend misschien honderdduizend zijn ter beschikking van de ISP's of zoiets. EN inderdaad IPv6 was ontwikkeld voor het tekort, (ipv6 is onbeperkt denk ik).

IK denk dat ik heb gevonden waarom WoW ipv6 ondersteund. In azia hebben ze nu al veel IPv6 adressen en daarmee denk ik :)
Gebruikersavatar
krisken
userbase crew
userbase crew
Berichten: 19763
Lid geworden op: 07 nov 2006, 12:11
Twitter: kriskenbe
Locatie: Massemen - 91WET0
Uitgedeelde bedankjes: 1857 keer
Bedankt: 1035 keer

De /8 blokken zijn uitgedeeld, dus "in theorie" zijn ze op.

Internet = Orange 150/15Mbps + WirelessBelgië
Telefonie = EDPnet + OVH
GSM = Orange Go Extreme SE + Scarlet Red
TV = TVV App + Netflix + Disney+ + Streamz
Netwerk = Mikrotik + Ubiquiti
Gebruikersavatar
Ofloo
Elite Poster
Elite Poster
Berichten: 5271
Lid geworden op: 04 okt 2004, 07:36
Locatie: BALEN
Uitgedeelde bedankjes: 57 keer
Bedankt: 92 keer

tonym schreef:
Ofloo schreef:maar ze geven wel die indruk 'k snap niet echt wat daar de bedoeling van is.
EDPnet heeft toch al 4 maand een IPv6 PoP voor Belgie: https://www.sixxs.net/pops/edpnet/
Daar heb ik nu echt op zitten wachten nog een tunnel, het enige nieuwe daaraan is dat de routing misschien iets beter zal zijn, maar het loopt nog altijd over een IPv4 netwerk, als je tegen mij verteld dat een ISP IPv6 aanbied dan denk ik dat ik een IPv6 rechtstreeks van de ISP krijg zonder dat ik hier tunnels voor moet creëren.

In mijn ogen is dit veel tamtam maken voor niks xs4all gaf vroeger al 6to4 of iets dergelijks. 5 ~ 10 jaar geleden? Kan ook een ander soort tunnel geweest zijn 'k weet enkel dat xs4all vroeger reeds ipv6 leverde en ik dacht chello ook.
tonym
Premium Member
Premium Member
Berichten: 484
Lid geworden op: 18 jan 2010, 16:56
Uitgedeelde bedankjes: 3 keer
Bedankt: 41 keer

Begrijp best je punt wel, maar eerlijk wat hebben we vandaag meer aan native IPv6?
Pas vanaf juni 2012 zal IPv6 echt belang beginnen krijgen:
http://www.internetsociety.org/news/wor ... t-protocol

Ik heb ook al een paar jaar een SixXS tunnel over IPv6 PoP van Easynet en dat heeft ruim volstaan.
skynetbbs
Elite Poster
Elite Poster
Berichten: 1664
Lid geworden op: 07 mei 2006, 21:18
Uitgedeelde bedankjes: 5 keer
Bedankt: 23 keer

meer "adressen" is slechts 1 van de 8 verbeteringen... ik geloof dat WoW vnl profiteerd van de multicast waardoor data veel sneller kan verstuurd worden van de servers naar de klanten ... nu moet alle data naar elke klant afzonderlijk...meer verbruik en bottleneck aan de serverkant...
Jumbograms kunnen ook voordelig zijn?
meer info hier : http://en.wikipedia.org/wiki/IPv6

dit zijn ze nog eens op een rijtje:
1 Larger address space
2 Multicasting
3 Stateless address autoconfiguration (SLAAC)
4 Mandatory network-layer security
5 Simplified processing by routers
6 Mobility
7 Options extensibility
8 Jumbograms
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Dergelijke dingen gaan vermoedelijk pas echt zin hebben als je front-to-back native IPv6 support hebt... en aangezien geen enkele provider dit momenteel in Belgie heeft is het dus twijfelachtig.
skynetbbs
Elite Poster
Elite Poster
Berichten: 1664
Lid geworden op: 07 mei 2006, 21:18
Uitgedeelde bedankjes: 5 keer
Bedankt: 23 keer

Xs4all biedt het aan in combinatie met zon fritz fon router

[Afbeelding Post made via mobile device ]
Gebruikersavatar
Gent32m
Elite Poster
Elite Poster
Berichten: 1615
Lid geworden op: 21 jan 2008, 11:33
Uitgedeelde bedankjes: 142 keer
Bedankt: 118 keer

Eventjes dit topic vanonder het stof halen.

1. Wanneer zal Belgacom IPV6 aanbieden. Is hierover ondertussen al meer bekend ?
2. Als je via IPV6 verbindt, wat verandert er dan intern allemaal in je netwerk (of moet je zelf voorzien) ?

* Nieuwe switches ? (of blijven die ook met IPV6 werken)
* Windows XP en IPV6 (service pack/patch hiervoor installeren)
* Static IP (wordt een IPV6 nummer of blijft intern een IPV4 adres)
* Andere ?

Wie heeft hier al ervaring mee.

Gent32m
Belgacom Internet Overal Start + WeePee (inkomend/uitgaand) en Poivy/Jumblo (uitgaand).
Gebruikersavatar
xenne
Elite Poster
Elite Poster
Berichten: 5332
Lid geworden op: 15 jan 2006, 14:54
Uitgedeelde bedankjes: 682 keer
Bedankt: 141 keer

er zou naar het schijnt een mogelijkheid bestaan om een test IPv6-adres te verkrijgen
Internet : Belgacom Comfort (30/3) VDSL2 sync 50/6 ROP distance: 364m
TV : Belgacom TV Comfort
Telefonie : WeePee (VoIP) (vast nummer geporteerd), justvoip & internetcalls
GSM : Mobile Vikings & Generation Connect
nico2
Starter Plus
Starter Plus
Berichten: 32
Lid geworden op: 23 jun 2012, 19:48
Uitgedeelde bedankjes: 7 keer

Dat heb met googelen ook gevonden en onderander hier: http://community.belgacom.be/posts/b40e ... 2238#72238
Maar er wordt nergens gemeld hoe je dit moet doen om er ene vast te krijgen ?
Ik ben ook wel geinteresseerd en als iemand weet hoe, dan zou ik het ook graag weten.

Nico
TomG
Elite Poster
Elite Poster
Berichten: 2171
Lid geworden op: 06 jun 2005, 18:33
Locatie: Zwevegem
Uitgedeelde bedankjes: 476 keer
Bedankt: 106 keer

xenne schreef:er zou naar het schijnt een mogelijkheid bestaan om een test IPv6-adres te verkrijgen
Met "een ipv6" adres kan je slechts één device connecteren (remember, geen NAT meer), dus het zal toch zeker een range moeten zijn.
* Nieuwe switches ? (of blijven die ook met IPV6 werken)
* Windows XP en IPV6 (service pack/patch hiervoor installeren)
* Static IP (wordt een IPV6 nummer of blijft intern een IPV4 adres)
* Andere ?
Een domme switch (layer 2) zal daar geen hinder mee ondervinden. Ander paar mouwen natuurlijk voor layer 3 switchen, maar die heb je vast niet thuis staan ;)
Voor Windows xp, dunno maar waarom zou je daar nog ipv6 op willen? ipv4 kan naast ipv6 bestaan. Vanaf een ipv4 adres kan je uiteraard geen ipv6 hosts bereiken (los van eventuele ipv6 tunnels etc).
Statische ip's zal wel denk ik enkel voor business oplossingen zijn.

Waar ik mij echter meer zorgen over maak en je leest daar zelden iets over in dergelijke topics is wat met security. Geen NAT wil zeggen dat een groot stuk basis beveiliging verdwijnt. Er is dus ook niets meer zoals port forwarding (DMZ ook niet althans binnen NAT bekeken).
Zijn alle ipv6 compatibele routers dan nog voorzien van degelijke firewalling?
jackho
Elite Poster
Elite Poster
Berichten: 4315
Lid geworden op: 05 jun 2011, 21:00
Uitgedeelde bedankjes: 104 keer
Bedankt: 278 keer

@ Nico2, als je naar je opgegeven link hierboven surft staat daar :
je kan altijd vragen om een (test)IPv6-adres te krijgen maar dit is geen zekerheid dat je deze zal krijgen, dat zal dan een gunst zijn
Dus blijkbaar zal het niet voor iedereen weggelegd zijn en dan vraag ik mij af of er dan ook iets in de BBOX2 moet ingesteld worden ?
mvg
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

TomG schreef:Waar ik mij echter meer zorgen over maak en je leest daar zelden iets over in dergelijke topics is wat met security. Geen NAT wil zeggen dat een groot stuk basis beveiliging verdwijnt. Er is dus ook niets meer zoals port forwarding (DMZ ook niet althans binnen NAT bekeken).
Zijn alle ipv6 compatibele routers dan nog voorzien van degelijke firewalling?
Misschien dat EDPnet klanten hier iets kunnen over vertellen ?

Initieel had ik ook nog een foutje in m'n IPv6 tunnel configuratie (eigenlijk m'n firewall setup) en stond zo ook compleet open :oops:
Gebruikersavatar
Gent32m
Elite Poster
Elite Poster
Berichten: 1615
Lid geworden op: 21 jan 2008, 11:33
Uitgedeelde bedankjes: 142 keer
Bedankt: 118 keer

Verdwijnt de Firewall op de modem/router ? (of slechts in beperkte mate).
Zo ja, wat stellen jullie in, om dit te compenseren
TomG schreef:Een domme switch (layer 2) zal daar geen hinder mee ondervinden. Ander paar mouwen natuurlijk voor layer 3 switchen, maar die heb je vast niet thuis staan ;)
Voor Windows xp, dunno maar waarom zou je daar nog ipv6 op willen? ipv4 kan naast ipv6 bestaan. Vanaf een ipv4 adres kan je uiteraard geen ipv6 hosts bereiken (los van eventuele ipv6 tunnels etc).
Statische ip's zal wel denk ik enkel voor business oplossingen zijn.
- Mijn switch is een Linksys switch (van rond de 50 euro). Dus, die zal wel layer 2 zijn, veronderstel ik
- Ik zit nog met Windows XP op mijn desktop pc (zou daarmee alle websites, etc) nog willen kunnen bereiken. Eens mijn Fritzbox modem via de IPV6 van Belgacom verbindt.

Gent32m
Laatst gewijzigd door Gent32m 25 jun 2012, 12:53, in totaal 1 gewijzigd.
Belgacom Internet Overal Start + WeePee (inkomend/uitgaand) en Poivy/Jumblo (uitgaand).
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Officieel denk ik niet dat er reeds IPv6 ondersteuning is voor de BBOX2 en Belgacom... dus dat zou enkel maar speculaties zijn.

Post je vraag eens binnen een EDPnet IPv6 topic zouik zeggen.
Gebruikersavatar
depeje
Elite Poster
Elite Poster
Berichten: 818
Lid geworden op: 22 jan 2011, 00:27
Locatie: Brussel
Uitgedeelde bedankjes: 184 keer
Bedankt: 39 keer
Recent bedankt: 3 keer

Gent32m schreef:Verdwijnt de Firewall op de modem/router ? (of slechts in beperkte mate).
Zo ja, wat stellen jullie in, om dit te compenseren
De firewall verdwijnt zeker niet uit de router. Wat wel verdwijnt (voor het IPv6 gedeelte dan) is de NAT en de intrinsieke beveiliging die dat met zich meebrengt. Namelijk: Een host op het internet kan een host in je lan niet contacteren voordat de host op je lan eerst die host op het internet heeft gecontacteerd.

Diezelfde veiligheid kan teruggebracht worden met een echte firewall. Die zal dan controleren of een host op het internet wel recht heeft de lan host te contacteren door na te gaan welke host het initiatief voor de communicatie heeft genomen. Een aantal firewall regels volstaan om de NAT-veiligheid terug te brengen. Die gaan waarschijnlijk standaard in de router (zo eentje voor huis-tuin-en-keuken-gebruik) geprogrammeerd zitten.

Als je dan een service toch toegankelijk wil maken vanop het internet, moet je gewoon de poort openzetten voor het IP adres van de juiste host, maar moet je niet gaan port-forwarden. Je kan dan in dezelfde moeite heel gemakkelijk instellen WELKE internet hosts toegang moet krijgen tot die poort op je LAN host.

Voorbeeld:

Dit is de configuratie van mijn IPv6 firewall. Enkel twee lijnen zijn nodig om de NAT-veiligheid terug te brengen. De andere zijn om bepaalde services op bepaalde hosts toegankelijk te maken vanop het internet. Als iemand een beveiligingslek ziet, laat het dan AUB weten :-) .

Code: Selecteer alles

krusty:~ # ip6tables -L -v
Chain INPUT (policy DROP 973K packets, 165M bytes)
 pkts bytes target     prot opt in     out     source               destination         
40881   32M ACCEPT     tcp      any    any     anywhere             anywhere            state ESTABLISHED 
 108K   23M ACCEPT     udp      any    any     anywhere             anywhere            state ESTABLISHED 
 858K   76M ACCEPT     ipv6-icmp    any    any     anywhere             anywhere            
    0     0 ACCEPT     tcp      any    any     anywhere             2a02:578:f09:1::1/128 tcp dpt:ssh 
    0     0 ACCEPT     tcp      any    any     anywhere             2a02:578:f09:1::1/128 tcp dpt:http 
  149 11920 ACCEPT     tcp      any    any     anywhere             2a02:578:f09:1::1/128 tcp dpt:https 

Chain FORWARD (policy DROP 15790 packets, 966K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp      sixxs  any     anywhere             2a02:578:f09:1::1/128 tcp dpt:ssh 
    0     0 ACCEPT     tcp      sixxs  any     anywhere             2a02:578:f09:1::1/128 tcp dpt:https 
    0     0 ACCEPT     tcp      sixxs  any     anywhere             2a02:578:f09:1::1/128 tcp dpt:http 
6022K  503M ACCEPT     all      any    sixxs   anywhere             anywhere                                                  <= deze lijn laat alle verkeer van LAN naar internet toe
13M   16G ACCEPT     all      any    any     anywhere             anywhere            state ESTABLISHED     <= deze lijn laat verkeer van internet naar LAN toe als een LAN host het initiatief heeft genomen.

Chain OUTPUT (policy ACCEPT 1168K packets, 112M bytes)
 pkts bytes target     prot opt in     out     source               destination
De lijnen in het bij CHAIN FORWARD slaan op de regels voor het gerouterde verkeer (LAN naar WAN of terug). De andere regels slaan op verkeer dat origineert op de router, of voor de router zelf bedoeld is. Bijvoorbeeld voor de managementsinterface, of de kloksynchronisatie. (Ik draai http, https en ssh op mijn router.)
Laatst gewijzigd door depeje 25 jun 2012, 20:40, in totaal 4 gewijzigd.
Gebruikersavatar
Gent32m
Elite Poster
Elite Poster
Berichten: 1615
Lid geworden op: 21 jan 2008, 11:33
Uitgedeelde bedankjes: 142 keer
Bedankt: 118 keer

Bedankt voor de info.

Kun je op deze manier ook bepaalde poorten gaan openzetten ? (iets wat ik vroeger deed met Port Forwarding).
Ik gaf dan een Port nummer + het IP adres (van de oproepende host/pc) op.

Gezien die port forwarding verdwijnt met IPV6.
Maar misschien zit er in die keuken modems (zoals de Fritzbox) hier ook wel iets voor voorzien.

Gent32m
Belgacom Internet Overal Start + WeePee (inkomend/uitgaand) en Poivy/Jumblo (uitgaand).
Gebruikersavatar
depeje
Elite Poster
Elite Poster
Berichten: 818
Lid geworden op: 22 jan 2011, 00:27
Locatie: Brussel
Uitgedeelde bedankjes: 184 keer
Bedankt: 39 keer
Recent bedankt: 3 keer

Portforwarding wordt vervangen door het gewoon openzetten van poorten van een bepaald IP adres. In je router (met ingebouwde firewall) moet je die twee dan gaan ingeven. Het voordeel is dat je nu meerdere hosts in je lan kan hebben met dezelfde poorten open.

Maar de laatste 3 posts horen eigenlijk beter thuis in het topic "EDPnet IPv6... de praktijk" welk net is gestart of nog beter "IPv6... de praktijk".
TomG
Elite Poster
Elite Poster
Berichten: 2171
Lid geworden op: 06 jun 2005, 18:33
Locatie: Zwevegem
Uitgedeelde bedankjes: 476 keer
Bedankt: 106 keer

depeje schreef:
Gent32m schreef:Verdwijnt de Firewall op de modem/router ? (of slechts in beperkte mate).
Zo ja, wat stellen jullie in, om dit te compenseren
De firewall verdwijnt zeker niet uit de router. Wat wel verdwijnt (voor het IPv6 gedeelte dan) is de NAT en de intrinsieke beveiliging die dat met zich meebrengt. Namelijk: Een host op het internet kan een host in je lan niet contacteren voordat de host op je lan eerst die host op het internet heeft gecontacteerd.

Diezelfde veiligheid kan teruggebracht worden met een echte firewall. Die zal dan controleren of een host op het internet wel recht heeft de lan host te contacteren door na te gaan welke host het initiatief voor de communicatie heeft genomen. Een aantal firewall regels volstaan om de NAT-veiligheid terug te brengen. Die gaan waarschijnlijk standaard in de router (zo eentje voor huis-tuin-en-keuken-gebruik) geprogrammeerd zitten.

Als je dan een service toch toegankelijk wil maken vanop het internet, moet je gewoon de poort openzetten voor het IP adres van de juiste host, maar moet je niet gaan port-forwarden. Je kan dan in dezelfde moeite heel gemakkelijk instellen WELKE internet hosts toegang moet krijgen tot die poort op je LAN host.

Voorbeeld:

Dit is de configuratie van mijn IPv6 firewall. Enkel twee lijnen zijn nodig om de NAT-veiligheid terug te brengen. De andere zijn om bepaalde services op bepaalde hosts toegankelijk te maken vanop het internet. Als iemand een beveiligingslek ziet, laat het dan AUB weten :-) .

Code: Selecteer alles

krusty:~ # ip6tables -L -v
Chain INPUT (policy DROP 973K packets, 165M bytes)
 pkts bytes target     prot opt in     out     source               destination         
40881   32M ACCEPT     tcp      any    any     anywhere             anywhere            state ESTABLISHED 
 108K   23M ACCEPT     udp      any    any     anywhere             anywhere            state ESTABLISHED 
 858K   76M ACCEPT     ipv6-icmp    any    any     anywhere             anywhere            
    0     0 ACCEPT     tcp      any    any     anywhere             2a02:578:f09:1::1/128 tcp dpt:ssh 
    0     0 ACCEPT     tcp      any    any     anywhere             2a02:578:f09:1::1/128 tcp dpt:http 
  149 11920 ACCEPT     tcp      any    any     anywhere             2a02:578:f09:1::1/128 tcp dpt:https 

Chain FORWARD (policy DROP 15790 packets, 966K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp      sixxs  any     anywhere             2a02:578:f09:1::1/128 tcp dpt:ssh 
    0     0 ACCEPT     tcp      sixxs  any     anywhere             2a02:578:f09:1::1/128 tcp dpt:https 
    0     0 ACCEPT     tcp      sixxs  any     anywhere             2a02:578:f09:1::1/128 tcp dpt:http 
6022K  503M ACCEPT     all      any    sixxs   anywhere             anywhere                                                  <= deze lijn laat alle verkeer van LAN naar internet toe
  13M   16G ACCEPT     all      any    any     anywhere             anywhere            state ESTABLISHED     <= deze lijn laat verkeer van internet naar LAN toe als een LAN host het initiatief heeft genomen.

Chain OUTPUT (policy ACCEPT 1168K packets, 112M bytes)
 pkts bytes target     prot opt in     out     source               destination
Dat maakt al heel wat duidelijk! Ik veronderstel dat de 2 regels voor reeds established connecties ervoor zorgen dat het enige verkeer dat normaal binnen kan, enkel hetgene is dat je zelf naarbuiten toe geïnitialiseerd hebt?

De (2) netwerk interfaces (WAN en LAN zijde) zijn die dan gewoon gebridged? Of zijn die afzonderlijk en moet je tussen netten routeren?
lithion
Elite Poster
Elite Poster
Berichten: 2138
Lid geworden op: 21 aug 2006, 13:02
Uitgedeelde bedankjes: 7 keer
Bedankt: 78 keer
Recent bedankt: 1 keer

Bij IPv6 zal jouw router gewoon gaan routeren. Je krijgt één adres op je WAN kant en een range (meestal /56 for home use) voor je LAN kant. Bij default filter een fritzbox al het inkomend verkeer. Als noob heb je dus nog even 'veilig' als bij NAT.
Gebruikersavatar
depeje
Elite Poster
Elite Poster
Berichten: 818
Lid geworden op: 22 jan 2011, 00:27
Locatie: Brussel
Uitgedeelde bedankjes: 184 keer
Bedankt: 39 keer
Recent bedankt: 3 keer

Inderdaad. In mijn voorbeeld is "sixxs" de interface aan de WAN kant. Alle andere interfaces zijn LAN. De rules die belang hebben op het routeren tussen het internet en LAN zijn te vinden in "Chain FORWARD". Policy drop betekent dat alles gedropped moet worden wat niet voldoet aan de volgende regels. Bij de lijnen die van belang zijn heb ik al commentaar gezet.

De Chains INPUT en OUTPUT slaan enkel op het verkeer dat vertrekt of aankomt op de machine zelf. (Mijn IPv6 router is ook server, en genereert zelf ook wat verkeer.) Daarvoor heb ik dezelfde regels als in de FORWARD chain ook moeten toepassen in die chain. De eerste twee regels in de input chain doen hetzelfde als de laatste regel bij FORWARD, maar daar is UDP en TCP ontdubbeld. OUTPUT policy ACCEPT betekent hetzelde als de voorlaatste regel in de FORWARD chain, maar dan voor lokaal gegenereerd verkeer.
TomG
Elite Poster
Elite Poster
Berichten: 2171
Lid geworden op: 06 jun 2005, 18:33
Locatie: Zwevegem
Uitgedeelde bedankjes: 476 keer
Bedankt: 106 keer

Dus voor puur routering (en internet toegang op router zelf enkel regels in input neem ik aan) heb je enkel zoiets hieronder nodig?

Code: Selecteer alles

    Chain INPUT (policy DROP 973K packets, 165M bytes)
     pkts bytes target     prot opt in     out     source               destination         
    40881   32M ACCEPT     tcp      any    any     anywhere             anywhere            state ESTABLISHED
     108K   23M ACCEPT     udp      any    any     anywhere             anywhere            state ESTABLISHED

Chain FORWARD (policy DROP 15790 packets, 966K bytes)
     pkts bytes target     prot opt in     out     source               destination         
    6022K  503M ACCEPT     all      IFLAN    IFWAN anywhere             anywhere
    13M   16G ACCEPT     all      IFWAN    IFLAN     anywhere             anywhere            state ESTABLISHED 
Is er een reden waarom je geen WAN interface gedefinieerd hebt op je forward chain internet --> lan? Want op de regel erboven in omgekeerde richting doe je dat wel.

En om één of meerdere hosts toegankelijk te maken van het internet voor een bepaald protocol moet je dus die regel in de input en de forward chain definiëren, that's all?

(mijn iptables kennis zit ondertussen al wat ver en kan een opfrisbeurt gebruiken ;))
Gebruikersavatar
depeje
Elite Poster
Elite Poster
Berichten: 818
Lid geworden op: 22 jan 2011, 00:27
Locatie: Brussel
Uitgedeelde bedankjes: 184 keer
Bedankt: 39 keer
Recent bedankt: 3 keer

Vergeet niet dat de output chain policy ACCEPT moet hebben. Die chain kan je trouwens niet verwijderen. Op de forward chain rule wan ->lan heb ik geen interface gedefinieerd omdat het eigenlijk niet uitmaakt. Established connections mogen in alle richtingen door. En ik hebnog wat meer dan die twee interfaces. Dat spaart mij wel wat regels uit.

Om toegang te geven tot een host zijn elkel regels nodig in de forward chain. Bij mij staan die ook in de input chain omdat die host toevallig ook mijn router is, en linux het niet zo nauw neemt met IP adressen. (Voor linux behoort een adres aan de machine toe, niet aan de interface.) Anders had ik het eleganter kunnen oplossen. Het IP adres dat je kan zien in mijn iptables is eigenlijk van de lan interface, maar pakketten van het internet (interface sixxs) naar dat IP komen toch direct in de INPUT chain.
Plaats reactie

Terug naar “Netwerken en Security”