Sziasztok!
Még csak ismerkedés fázisban vagyok az ipv6-tal, ezért szeretnék egy kis segítséget vagy ötletet kérni.
Adott egy otthoni Digi internet előfizetés, rajta egy Mikrotik router. Szépen kapok ipv6 prefixet a szolgáltatótól, és ezt osztom is tovább a lan gépeinek. Működik minden gépről az ipv6.
Felmerült bennem, hogy adott gépet szeretnék korlátozni. Például csak reggel 7 és este 7 között tudja az a gép elérni az internetet. Ipv4 tűzfallal simán meg is oldom, mert fixen mac-hez kötve osztja a dhcp az ipv4 címeket (androidon manuálisan be kell állítani, hogy a device mac címét használja, és ne random címet generáljon minden alkalommal). Azonban ipv6-on a Mikrotik nem tud dhcp szerver lenni, csak a prefixet adja át a kliensnek, abból generál magának a kliens egy valid címet. Így ezen a ponton már többnyire bukom azt, hogy ismerjem a kliens ipv6 címét, így nem tudom tűzfalon szűrni. Ezt mondjuk megoldom egy valamilyen teljes funkcionalitással működö dhcpv6 szerverrel, mondjuk virtualizálva valami alap linuxon.
Nade, azt olvastam több helyen is, hogy pl. böngészők már minden egyes kapcsolathoz generálnak maguknak egy véletlen címet a követhetőség kikerülése miatt. Innentől kezdve viszont elég harmatos az ipv6 tűzfal erre a feladatra, mert mindig meg fogja kerülni a kliens valami újabb címmel.
Mit lehet ez ellen tenni? Mert amíg ez csak otthon probléma, addig szomorkodom egy kicsit. De amikor majd nagyban kell ezzel dolgozni a munkahelyen, akkor már nem lesz annyira vicces ez a működés. Van erre már valami bevált gyakorlat nálatok, akik nagyban is használtok ipv6-ot?
- 462 megtekintés
Hozzászólások
Macaddress alapján szűrés nem elérhető?
- A hozzászóláshoz be kell jelentkezni
> böngészők már minden egyes kapcsolathoz generálnak maguknak egy véletlen címet
ez azert tulzas, de lattam en is olyan hogy eleg surun (orankent tobbszor is) valtozott a v6 cime.
de ahogy androidon kikapcsolod a mac randomizalast, ezt is ki lehet kapcsolni a gepen (temporary address)... vagy meg egyszerubb ha annak a gepnek amit korlatozni akarsz, static v6 cimet allitasz be kezzel (vagy dhcp6-al).
- A hozzászóláshoz be kell jelentkezni
Ha static v6 címe van, akkor nem használ tempotrary address-t? De ezt a temporary address-t a böngésző generálja magának, nem? Ha erre rászoknak az egyébb programok is... nem lesz egyszerű világ.
- A hozzászóláshoz be kell jelentkezni
hat egy bongeszo megis hogy generalna ip-t maganak? max kerheti az OS-t hogy adjon neki, ha tud.
ha nem prefixet kap hanem fix cimet akkor nem tud...
- A hozzászóláshoz be kell jelentkezni
Ezt kipróbálom, köszönöm!
Ööö... a prefix időnként változik. Van arra mód, hogy a prefixen túli rész legyen csak fix, a prefix meg változhat? Dhcp szerver nélkül?
- A hozzászóláshoz be kell jelentkezni
Mikrotik ROS 7 Kid Control-ja nem jó erre? MAC alapján azonosítja az eszközt.
Telefon randomizált MAC funkcióját ki kell kapcsolni ehhez is.
- A hozzászóláshoz be kell jelentkezni
Az adott feladatra jó lehet, de én most a nagy általánosságban aggódom a tűzfalazás miatt. Mondjuk egy Cisco ASA-val már nem megy a Kid Control:)
- A hozzászóláshoz be kell jelentkezni
Általánosságban MAC alapú szűrés lesz a barátod (Advanced fül SRC MAC Address), de a telefonok randomizált MAC funkcióját mindegyikhez tiltani kell.
A temporary IPv6 végpontból való tiltása, amit fentebb javasoltak szerintem téves irány. Az internetes összekapcsolhatóság védelmet (privacy) ha már kitalálták, és nem tiltanám.
- A hozzászóláshoz be kell jelentkezni