1

Frage

2

Antwort

3

Lösung

Connect Box -> IP und Port Filter reagiert nur auf Quellport ALL / Nextcloud
Nicht anwendbar
Hallo zusammen,


finde es eine gute Sache, dass Forum hier wo sich User austauschen können, THUMBS UP dafür 😉


Ich versuche meine NEXTCloud auf Port 443 verfügbar zu machen. 


Wenn ich die gleiche Konfiguration bis auf den Quellport, auf beliebig ändere, dann funktioniert es.


Es macht sicherheitstechnisch jedoch keinen Sinn alle Ports durch zulassen, welche alle auf 443 terminieren.. 


Es handelt sich bei dem Problem um jedwede Einschränkung, zb. auch nen Ping. Das Protokoll kann eingeschränkt werden, jedoch nicht der korrekt Port. 


Kann das Phänomen jemand bestätigen oder bin ich hiermit alleine?



Ich bedanke mich Vorraus


wwurst



ps. der Safari ist für die ConnectBox nicht zu gebrauchen.

15 Antworten 15
Horst_UM
Host-Legende
Host-Legende
Hmm, fragen wir mal anders. Bei einer Weiterleitung ist ein IPv4-Cloud? Welchen Anschluss hast du denn? Ein DS-Lite mit IPv6? Dual-Stack?Normalerweise werden die IPv4-Anfragen gefiltert und *Der Vorteil von IPv6 ist ja gerade, dass kein NAT verwendet wird* Also das es kein Natten in dem Sinne wie Portweiterleitung und Portmappen gibt. dh, habe ich ein Gerät, ein Cloud, ein Server etc. so adressiere ich den direkt über IPv6.


Lösung: 


www.feste-ip.net/

Nicht anwendbar
Hallo,


vielen Dank für deine Antwort. 


Ich bin irrtümlich davon ausgegangen das es jetzt nur noch ds-lite Anschlüsse gibt, sorry.


Also es handelt sich um ein ds-lite, ja. Die Konnektierung geschied komplett auf ipv6, also einen "Umsetzer" brauche ich nicht. 


Wie ipv6 funktioniert ist bekannt, ich sehe den Bereich IP und Port lediglich als ersten Perimeter von der Aussenwelt, also kein NAT sondern nur ein Allow oder Drop von Host und Port. Darum sieht es für mich aus, also ob die ConnectBox hier ein Problem hat. Deswegen auch die Frage ob ich mit der Thematik hier alleine bin. Im Forum dazu habe ich leider nichts weiter gefunden. 


Es ist der Sicherheit nicht zuträglich, wenn alle Quellports zugelassen sind, dann kann ich die Regel auch gleich auf Durchzug(ALL,ALL,ALL) stellen. Eine Eingrenzung über das Protokoll (TCP) bringt mich auch nicht wirklich weiter. 


Fakt ist, wenn der Quellport auf beliebig steht, also 1-65535 funktioniert es.


Ich hoffe ich konnte mein Problem etwas deutlicher darstellen.


Vielen Dank im Voraus



ps. zur feste-ip.net sollte noch gesagt sein. Es muss jedem der es nutzt klar sein, dass wenn so ein Broker eingesetzt wird, der Provider alle Verbindungsdaten lesen, speichern und verarbeiten kann. 

Torsten
SuperUser
SuperUser
Laut deinen Screens ist aber die angegebene IP-Adresse ungültig. Ich hab das jetzt mal probiert und wenn ich die korrekte IP-Adresse auswähle, kann ich auch nur den einen Port öffnen. Dummerweise hab ich derzeit keine Möglichkeit, das von außerhalb zu testen, da mein Hauptanschluss ein IPv4 only ist.
Nicht anwendbar
Hallo Thorsten,


ich wollte hier, für den Screenshot keine korrekte IPv6 eintragen, deswegen die Meldung. 😉



Vielen Dank trotzdem für deine Mühe.


Eventuell kann das ein anderer ipv6 User in der Verbindung mit der ConnectBox prüfen.

Gelöschter User
Nicht anwendbar
Da gibt es doch genug Portscanner im Netz, die das für dich tun können
IPv6 Scanner | Online Port Scan

IPV6 Scanner is a Online Port Scan. Also scans IPV4 ports.


Ich hasse dieses dämliche Linkverhalten.


Nicht anwendbar
@Plumper


es geht mir darum, das jemand mit einer ConnectBox und ipv6 dies einmal nachstellen könnte oder ihm das Verhalten bekannt ist.


Ich kann ja belegen das die Ports nicht unter den benannten Bedingungen erreichbar bzw. nicht sind. 

Gelöschter User
Nicht anwendbar
Bitte zerreise mich nicht in der Luft, aber mir ging es mit einem RaspberryPi und einer Fritzbox schon so.
Die tatsächliche öffentliche IPv6 des PI unterschied sich von der IPv6 in der Fritzbox.
Damit konnte das also nichts werden.

Und du benutzt bei den Tests wirklich die öffentliche IP des Clients?

Horst_UM
Host-Legende
Host-Legende
Du kannst ja ein Pseudo-Link unter dynv6.com anlegen, deine IPv6-Adresse(Prefix) eintragen und uns zum Testen zur Verfügung stellen. Irgendwann kannst du ja den Prefix ändern(verstellen,so das keiner Zugriff hat) Machte ich zum Testen meines Apache und Ftp über IPv6 auch. Brauche ich sie nicht, so leite ich die Anfrage auf hajodeles IPv6 weiter.


Das Verhalten der Box ist eh nicht so ganz nachvollziehbar. Ich vermute das er unter "Beliebig" einfach ohne Port die Pakete durchleitet.Zumal es noch zwei unterschiedliche Einstellmöglichkeiten bei DHCPv6 gibt. Die Autokonfiguration bleibt dabei "stateless". Anders sieht es aus, wenn auch DHCPv6 der Präfix verteilt wird. Dann ist die Autokonfiguration "stateful".Vieleicht kan man mit Wireshark die Ports ermitteln (UDP?TCP?)

Mein Dozent sagte immer zu Ipv6, vergesst die Ports und denkt nicht so kompliziert.Somit habt ihr das im Griff.Das war 2012..

Es gibt ja noch die Möglichkeit mal den Thomas Schäfer anzuschreiben,oder der liest hier mit.Zu ereiche über www.thomas--schaefer.de/ipv6.html. Ich glaube der hat es drauf.

Scoopi
Datenguru
Datenguru
Ich hab das mal getestet, ich kann die Regel nach deinem Schema hinzufügen . Zugriff von außerhalb ebenfalls getestet.
Facebook: "Ich kenne jeden!"
Wikipedia: "Ich weiß alles!"
Google: "Ich finde alles!"
Internet: "Ohne mich geht gar nichts!"
Strom: "ACH WIRKLICH?"