Wunsch: Firewalling für Portmapper auf Ihren Servern

Alles Rund um die Einrichtung unserer IPv6 Portmapper
Antworten
nanoipv6
Beiträge: 4
Registriert: Do 16. Mär 2017, 14:11

Wunsch: Firewalling für Portmapper auf Ihren Servern

Beitrag von nanoipv6 » Do 16. Mär 2017, 14:30

Hallo,

wäre es möglich, eine einfache(!) zusätzliche Option in der Web-GUI von Feste-IP.net einzubauen, die es mir als Kunden ermöglicht, einfache Zugriffsbeschränkungen pro Portmapper zu ermöglichen?

Bei mir zuhause sehe ich ja nur die IP-Adresse Ihres Portmappers und weiß daher nicht, woher die Anfrage kam, um sie ggf. blockieren zu können.

Meistens dürften der Portmapper ja für Fernwartungszwecke genutzt werden.
Da dies oft von bekannten Netzwerken aus passiert, möchte ich den Zugriff auf bestimmte IP-Netze beschränken.

rema
Feste-IP.Net Support
Beiträge: 369
Registriert: Do 5. Feb 2015, 10:24

Re: Wunsch: Firewalling für Portmapper auf Ihren Servern

Beitrag von rema » Do 30. Mär 2017, 15:12

Hallo,

So einfach ist das nicht umsetzbar.
Was mir da eher einfallen würde ist die anfragende IPv4 in den hinteren Teil unserer IPv6 Adresse zu packen.
Ich habs mal auf die ToDo Liste genommen.

/LG rema

nanoipv6
Beiträge: 4
Registriert: Do 16. Mär 2017, 14:11

Re: Wunsch: Firewalling für Portmapper auf Ihren Servern

Beitrag von nanoipv6 » Fr 31. Mär 2017, 10:19

Hallo,

vielen Dank, dass Sie eine Lösung in Erwägung ziehen.

nanoipv6
Beiträge: 4
Registriert: Do 16. Mär 2017, 14:11

Re: Wunsch: Firewalling für Portmapper auf Ihren Servern

Beitrag von nanoipv6 » Mo 10. Apr 2017, 12:44

rema hat geschrieben:
Do 30. Mär 2017, 15:12
So einfach ist das nicht umsetzbar.
Könnten Sie denn noch kurz erläutern, warum das technisch schwierig ist (rein technisches Interesse)?
Ich vermute, dass jeder Portmapper sowas wie "socat" unter Linux ist. Es läuft also pro Portmapper z.B. ein Prozess, der die ankommenden Verbindungen per Sockets auf IPv4 entgegen nimmt und diesen Stream dann mit einem IPv6 Socket weiterreicht.

Es müsste doch möglich sein, diesem Prozess eine White-/Blacklist mitzugeben, die dann beim Aufruf von accept() [http://man7.org/linux/man-pages/man2/accept.2.html] mit der dort übergebenen Adresse verglichen wird. Passt diese Adresse nicht, dann wird der Socket wieder geschlossen.

Diese Lösung nutzt natürlich nicht die ip(6)tables.

Antworten