Wunsch: Firewalling für Portmapper auf Ihren Servern

Alles Rund um die Einrichtung unserer IPv6 Portmapper
Post Reply
nanoipv6
Posts: 4
Joined: Thu 16. Mar 2017, 14:11

Wunsch: Firewalling für Portmapper auf Ihren Servern

Post by nanoipv6 »

Hallo,

wäre es möglich, eine einfache(!) zusätzliche Option in der Web-GUI von Feste-IP.net einzubauen, die es mir als Kunden ermöglicht, einfache Zugriffsbeschränkungen pro Portmapper zu ermöglichen?

Bei mir zuhause sehe ich ja nur die IP-Adresse Ihres Portmappers und weiß daher nicht, woher die Anfrage kam, um sie ggf. blockieren zu können.

Meistens dürften der Portmapper ja für Fernwartungszwecke genutzt werden.
Da dies oft von bekannten Netzwerken aus passiert, möchte ich den Zugriff auf bestimmte IP-Netze beschränken.
rema
Feste-IP.Net Support
Posts: 407
Joined: Thu 5. Feb 2015, 10:24

Re: Wunsch: Firewalling für Portmapper auf Ihren Servern

Post by rema »

Hallo,

So einfach ist das nicht umsetzbar.
Was mir da eher einfallen würde ist die anfragende IPv4 in den hinteren Teil unserer IPv6 Adresse zu packen.
Ich habs mal auf die ToDo Liste genommen.

/LG rema
nanoipv6
Posts: 4
Joined: Thu 16. Mar 2017, 14:11

Re: Wunsch: Firewalling für Portmapper auf Ihren Servern

Post by nanoipv6 »

Hallo,

vielen Dank, dass Sie eine Lösung in Erwägung ziehen.
nanoipv6
Posts: 4
Joined: Thu 16. Mar 2017, 14:11

Re: Wunsch: Firewalling für Portmapper auf Ihren Servern

Post by nanoipv6 »

rema wrote: Thu 30. Mar 2017, 15:12 So einfach ist das nicht umsetzbar.
Könnten Sie denn noch kurz erläutern, warum das technisch schwierig ist (rein technisches Interesse)?
Ich vermute, dass jeder Portmapper sowas wie "socat" unter Linux ist. Es läuft also pro Portmapper z.B. ein Prozess, der die ankommenden Verbindungen per Sockets auf IPv4 entgegen nimmt und diesen Stream dann mit einem IPv6 Socket weiterreicht.

Es müsste doch möglich sein, diesem Prozess eine White-/Blacklist mitzugeben, die dann beim Aufruf von accept() [http://man7.org/linux/man-pages/man2/accept.2.html] mit der dort übergebenen Adresse verglichen wird. Passt diese Adresse nicht, dann wird der Socket wieder geschlossen.

Diese Lösung nutzt natürlich nicht die ip(6)tables.
Post Reply