Sisäverkon osoitteet (oli: Palomuurisäännöt Ipv6-mutoon?)

[AimoE]

Palomuurikeskustelu hiljattain herätti munut huomaamaan että vaikka olen siirtynyt käyttämään modeemi-reitittimessäni IPv6:a niin olen unohtanut lisätä palomuuriin IPv6-reiät IPv4-reikien rinnalle. Otetaan esimerkiksi Samba. Jos minulla on komennettuna

Koodia: [Valitse]

sudo ufw allow from 192.168.0.0/16 to 192.168.0.0/16 app Samba
niin miten sama ilmaistaan IPv6-osoitteille?

[nm]

Palomuurikeskustelu hiljattain herätti munut huomaamaan että vaikka olen siirtynyt käyttämään modeemi-reitittimessäni IPv6:a niin olen unohtanut lisätä palomuuriin IPv6-reiät IPv4-reikien rinnalle. Otetaan esimerkiksi Samba. Jos minulla on komennettuna

Koodia: [Valitse]

sudo ufw allow from 192.168.0.0/16 to 192.168.0.0/16 app Samba
niin miten sama ilmaistaan IPv6-osoitteille?

Ei ehkä ole tarkoituksenmukaista käyttää sisäverkossa IPv6:tta, vaikka se on toki periaatteessa mahdollista. IPv6 ei suoraan tue nattausta tai erillistä lokaalia verkkoa, joten verkon eristäminen ulkomaailmasta taitaa olla hankalaa: https://askubuntu.com/questions/285679/how-do-i-allow-local-ipv6-subnets-in-ufw

Suosittelen pitäytymään toistaiseksi perinteisessä natatussa IPv4-lähiverkossa, jos on tarvetta käyttää verkon sisällä Samban tapaisia palveluja.

[AimoE]

Nää aliverkot on ihan yhtä epäselviä IPv4-verkossakin. Keskusteluista täällä on jäänyt sellainen epämääräinen käsitys päälle, että kun minulla on reitittimessä NAT, niin siitä automaattisesti seuraa että minulla on joku aliverkko käytössä, ja minun pitäisi tietää mikä aliverkko on kyseessä kun teen palomuurisääntöjä. Tuo 192.168.0.0/16 on ollut se arvaus joka on toiminut. Itse en ole mitään aliverkkoa määritellyt.

Alkuperäinen kysymys taisi olla väärä. Tarkoitin kait ennemminkin sitä millä tavalla Samba-yhteys avataan Ubuntu-koneen palomuuriin kotiverkon koneita varten silloin kun (ei ole tarvetta jakaa kotiverkkoa aliverkkoihin mutta) haluaa olla varma että palomuuri ei vahingossakaan ole auki WAN-liikenteelle, eli varautuu siihen että modeemi-reititin saattaa joskus (vaikka vaan lyhyen aikaa) olla esim. sillatussa tilassa?

[pata]

Nää aliverkot on ihan yhtä epäselviä IPv4-verkossakin. Keskusteluista täällä on jäänyt sellainen epämääräinen käsitys päälle, että kun minulla on reitittimessä NAT, niin siitä automaattisesti seuraa että minulla on joku aliverkko käytössä, ja minun pitäisi tietää mikä aliverkko on kyseessä kun teen palomuurisääntöjä. Tuo 192.168.0.0/16 on ollut se arvaus joka on toiminut. Itse en ole mitään aliverkkoa määritellyt.

Alkuperäinen kysymys taisi olla väärä. Tarkoitin kait ennemminkin sitä millä tavalla Samba-yhteys avataan Ubuntu-koneen palomuuriin kotiverkon koneita varten silloin kun (ei ole tarvetta jakaa kotiverkkoa aliverkkoihin mutta) haluaa olla varma että palomuuri ei vahingossakaan ole auki WAN-liikenteelle, eli varautuu siihen että modeemi-reititin saattaa joskus (vaikka vaan lyhyen aikaa) olla esim. sillatussa tilassa?

Jos reitittimeen on konfattu NAT, laittaa reititin sisäverkoon eri IP-osoitealueen oletuksensa mukaan. Kirjautumalla reitittimeen pitäisi tuon osoitteen olla luettavissa ja tavallisesti myös muutettavissa.

Olen käyttänyt aina NAT:a turvallisuuden takia ja luottanut siihen että se riittää. Tietokoneissani ei ole palomuuri käytössä jolloin sisäverkon liikenne ei tarvi palomuurin konfausta. Milloinkaan en halua asettaa reititintä siltaavaksi koska silloin WAN:sta näkee tietokoneen mikä on riskialtista.

Jos haluaa laittaa palvelimen johon voi avata esim. HTTP yhteyden ulkoverkosta, pitää laittaa tiukka palomuuri ja mieluimmin varata tarkoitukseen tietokone, jossa ei ole tietoa, jota ei halua levittää maailmalle. Palvelimen suojaamiseen löytyy netistä paljon ohjeita.

[AimoE]

Jos reitittimeen on konfattu NAT, laittaa reititin sisäverkoon eri IP-osoitealueen oletuksensa mukaan. Kirjautumalla reitittimeen pitäisi tuon osoitteen olla luettavissa ja tavallisesti myös muutettavissa.

Tämänhetkisen modeemi-reitittimen asetuksissa ei mainita NATista mitään, mutta en keksi miksi NAT ei olisi mukana, kun siellä on port forwarding ja mac address forwarding ja jos sun vaikka mitä. Hallintasivun osoite kumminkin on se tavallinen http://192.168.1.1/ (siltaavassa tilassa http://192.168.100.1/), joten sivua https://en.wikipedia.org/wiki/Private_network lukemalla vahvistin uskoani siihen että 192.168.0.0/16 on jokseenkin se mitä haluan.

Olen käyttänyt aina NAT:a turvallisuuden takia ja luottanut siihen että se riittää. Tietokoneissani ei ole palomuuri käytössä jolloin sisäverkon liikenne ei tarvi palomuurin konffausta. Milloinkaan en halua asettaa reititintä siltaavaksi koska silloin WAN:sta näkee tietokoneen mikä on riskialtista.

Juu, kyllä minäkin luotan modeemin tai reitittimen NATiin (tosin sillä varauksella että modeemissa on operaattorin määrittämä softa, ja operaattori on DNA), mutta itseeni en luota. Minulla on välillä ollut modeemin ja tietokoneiden välissä ollut erillinen reititin, jolloin pidin modeemin siltaavassa tilassa. Nyt ei ole erillistä reititintä, mutta tiedän jo ennestään että laitteiden kanssa tapahtuu joskus lipsahduksia. Tyypillisin riskitilanne on se tilanne että operaattori päivittää modeemin softan, jolloin yhteys katkeaa ja modeemi pitää bootata ja yhteys pitää uudelleen saada toimimaan ilman sitä välissä olevaa reititintä. Silloin saattaa joskus käydä niin että tekee jotain väärässä järjestyksessä.

Suojelen siis kotiverkkoa itseltäni.

[nm]

Nää aliverkot on ihan yhtä epäselviä IPv4-verkossakin.

Joskus voivat olla, mutta tavallinen kotiverkon konfiguraatio on aika yksinkertainen, kun hieman tutkii ja opiskelee IPv4-verkon toimintaa.

Keskusteluista täällä on jäänyt sellainen epämääräinen käsitys päälle, että kun minulla on reitittimessä NAT, niin siitä automaattisesti seuraa että minulla on joku aliverkko käytössä, ja minun pitäisi tietää mikä aliverkko on kyseessä kun teen palomuurisääntöjä. Tuo 192.168.0.0/16 on ollut se arvaus joka on toiminut. Itse en ole mitään aliverkkoa määritellyt.

Se on tosiaan reitittimen asetuksissa määriteltävissä, tai kiinteästi määritelty. Linux-koneelta näet DHCP:llä saadut verkkotiedot reititystaulusta route- tai ip route -komennolla. Minulla on tuollainen 192.168.0.0/16-verkko käytössä ja ip route listaa tällaista:

Koodia: [Valitse]

ip route

Koodia: [Valitse]

default via 192.168.1.1 dev eth4  proto static
192.168.0.0/16 dev eth4  proto kernel  scope link  src 192.168.1.2  metric 1

Tässä 192.168.1.1 on default gateway eli reititin/NAT-boksi, 192.168.1.2 on koneen IP-osoite (joka on tämän palvelinkoneen tapauksessa staattisesti määritelty reitittimen asetuksissa MAC-osoitteen perusteella porttiohjauksia varten) ja 192.168.0.0/16 on lähiverkon osoitealue.

Alkuperäinen kysymys taisi olla väärä. Tarkoitin kait ennemminkin sitä millä tavalla Samba-yhteys avataan Ubuntu-koneen palomuuriin kotiverkon koneita varten silloin kun (ei ole tarvetta jakaa kotiverkkoa aliverkkoihin mutta) haluaa olla varma että palomuuri ei vahingossakaan ole auki WAN-liikenteelle, eli varautuu siihen että modeemi-reititin saattaa joskus (vaikka vaan lyhyen aikaa) olla esim. sillatussa tilassa?

Samba-yhteydet on paras hoitaa IPv4-osoitteilla, koska Netbios-osoitteenmääritysprotokolla ei tue IPv6:tta. Eli teet kuten tähänkin asti ja käytät sisäverkossa vain IPv4-osoitteita. Veikkaan, ettei reitittimesi edes tarjoa DHCPv6:tta eli et saa sen kautta IPv6-osoitteita lähiverkon koneille. (Paitsi siltaavassa tilassa, jolloin käytät operaattorin DHCP:tä).

[AimoE]

Samba-yhteydet on paras hoitaa IPv4-osoitteilla, koska Netbios-osoitteenmääritysprotokolla ei tue IPv6:tta. Eli teet kuten tähänkin asti ja käytät sisäverkossa vain IPv4-osoitteita. Veikkaan, ettei reitittimesi edes tarjoa DHCPv6:tta eli et saa sen kautta IPv6-osoitteita lähiverkon koneille. (Paitsi siltaavassa tilassa, jolloin käytät operaattorin DHCP:tä).

Näin ehdinkin jo päätellä, kiitos vahvistuksesta. Verkkoasioissa on vaikea löytää helppotajuisia selityksiä.

[AimoE]

Mnulla näin:

Koodia: [Valitse]

$ ip route
default via 192.168.1.1 dev enp7s0  proto static  metric 100
169.254.0.0/16 dev enp7s0  scope link  metric 1000
192.168.1.0/24 dev enp7s0  proto kernel  scope link  src 192.168.1.250  metric 100

Tuo viimeinen rivi kyllä hämmentää.

[nm]

Mnulla näin:

Koodia: [Valitse]

$ ip route
default via 192.168.1.1 dev enp7s0  proto static  metric 100
169.254.0.0/16 dev enp7s0  scope link  metric 1000
192.168.1.0/24 dev enp7s0  proto kernel  scope link  src 192.168.1.250  metric 100

Tuo viimeinen rivi kyllä hämmentää.

Lähiverkon verkkoalue on 192.168.1.0/24 eli osoitteet välillä 192.168.1.0 - 192.168.1.255
Koneen IP-osoite on 192.168.1.250, joka on saatu automaattisesti reitittimen DHCP-palvelulta.

[AimoE]

No nyt kilahti kello. Koneiden IP-osoitteet muuttuivat jossain vaiheessa silloin kun sähläsin sen erillisen reitittimen kanssa. Aluksi sekä modeemi että reititin käyttivät samoja IP-osoitteita mutta sitten yhtäkkiä koneiden IP-osoitteet muuttuivat ja muistaakseni modeemi alkoi antaa eri osoitteita kuin reititin. Käytössä on siis nyt aliverkko jota en ole itse lisännyt mutta joka on syntynyt sähläilyn takia. Eihän se niin pieni ole että ihan äkkiä menisi tukkoon, mutta olisi silti kiva tietää millä siitä pääsee eroon.

[AimoE]

Viittaako tuo "kernel" modeemi-reitittimen käyttikseen?

[nm]

Viittaako tuo "kernel" modeemi-reitittimen käyttikseen?

"proto kernel" tarkoittaa että tietokoneesi Linux-ydin on luonut kyseisen reitin automaattisesti: https://stackoverflow.com/questions/10259266/what-does-proto-kernel-means-in-unix-routing-table/10259552#10259552

No nyt kilahti kello. Koneiden IP-osoitteet muuttuivat jossain vaiheessa silloin kun sähläsin sen erillisen reitittimen kanssa. Aluksi sekä modeemi että reititin käyttivät samoja IP-osoitteita mutta sitten yhtäkkiä koneiden IP-osoitteet muuttuivat ja muistaakseni modeemi alkoi antaa eri osoitteita kuin reititin. Käytössä on siis nyt aliverkko jota en ole itse lisännyt mutta joka on syntynyt sähläilyn takia. Eihän se niin pieni ole että ihan äkkiä menisi tukkoon, mutta olisi silti kiva tietää millä siitä pääsee eroon.

Säätämällä sen laitteen asetuksia, joka toimii kyseisen verkon gatewaynä ja DHCP-palvelimena. Yleensä siis sen reitittimen asetuksia johon tietokoneesi on kytketty Ethernetillä tai wifillä, mutta jos kyseinen laite on siltaavassa tilassa, konfiguraatio tehdään ylempänä ketjussa.

Kaikki reitittimet eivät välttämättä edes mahdollista laajemman verkkoalueen määrittämistä. 254 osoitetta riittää pitkälle, eikä verkkoaluetta tarvitse muuttaa isommaksi ennen kuin osoitteet alkavat oikeasti olla vähissä.

[AimoE]

Kuten kerroin, modeemi on ollut siltaavassa tilassa aiemmin, kun käytin erillistä reititintä.

Tämä aliverkko varmaankin syntyi koska minulla oli kerran vahingossa hetken aikaa sekä modeemikin reitittävässä tilassa erillinen reititin kytkettynä samaan aikaan (kun selvitin onko modeemin softa päivittynyt kun yhteys katkesi). Ajattelin että jos kyse on modeemin kernelistä, niin resetointi auttaisi mutta jos se on Ubuntun kernelin aikaansaannos niin silloin on tilanne hankalampi. Modeemissa ei ole mitään asetusta jonka avulla voisin aliverkkoihin vaikuttaa. Tää on DNA:n purkki ja siinä on DNA:n virittämä softa, joka on aikalailla yksinkertaisempi kuin kunnin reitittimissä.

No, täytyy silti kokeilla sitä resetointia ihan ensiksi.

[nm]

Kuten kerroin, modeemi on ollut siltaavassa tilassa aiemmin, kun käytin erillistä reititintä.

Tämä aliverkko varmaankin syntyi koska minulla oli kerran vahingossa hetken aikaa sekä modeemikin reitittävässä tilassa erillinen reititin kytkettynä samaan aikaan (kun selvitin onko modeemin softa päivittynyt kun yhteys katkesi). Ajattelin että jos kyse on modeemin kernelistä, niin resetointi auttaisi mutta jos se on Ubuntun kernelin aikaansaannos niin silloin on tilanne hankalampi. Modeemissa ei ole mitään asetusta jonka avulla voisin aliverkkoihin vaikuttaa. Tää on DNA:n purkki ja siinä on DNA:n virittämä softa, joka on aikalailla yksinkertaisempi kuin kunnin reitittimissä.

No, täytyy silti kokeilla sitä resetointia ihan ensiksi.

Eiköhän tuo 192.168.1.0/24 -aliverkko ole ihan modeemisi tehdasasetus. Jos haluat jonkun muun verkkoalueen, se täytyy käydä erikseen vaihtamassa, ja jos modeemissa ei ole siihen asetusta, et voi vaikuttaa asiaan muuten kuin vaihtamalla modeemin johonkin toiseen malliin tai käyttämällä sitä siltaavassa tilassa jonkun toisen reitittimen kanssa.

Tietokoneen käyttöjärjestelmä ei tähän asiaan vaikuta mitenkään, kun verkkoalue ja osoitteet tulevat modeemin/reitittimen DHCP:ltä.

[LeHiX]

Mnulla näin:

Koodia: [Valitse]

$ ip route
default via 192.168.1.1 dev enp7s0  proto static  metric 100
169.254.0.0/16 dev enp7s0  scope link  metric 1000
192.168.1.0/24 dev enp7s0  proto kernel  scope link  src 192.168.1.250  metric 100

Tuo viimeinen rivi kyllä hämmentää.

Minulla DNAn modeemi/reititin kaapelissa ja

Koodia: [Valitse]

ip route
default via 192.168.0.1 dev eth0  proto static  metric 100
169.254.0.0/16 dev eth0  scope link  metric 1000
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.10  metric 100joskus on ollut ihan vieraileva läppäri josta kopioitiin hitosti kuvia, taisi olla vain kansion jako ja läppäri oli wlanilla samassa modeemisa

[AimoE]

@LeHiX, kun ajat nslookup-komennon, saatko kotiverkon koneiden IP-osoitteet? Minä saan vain muualla Internetissä olevien koneiden osoitteita, en sisäverkon koneiden osoitteita. Näin on minusta ollut ihan alusta asti. Kun yritin kysyä DNA:n tuesta onko näin tarkoituskin olla, sieltä sanottiin että resetoi laite eikä otettu kantaa DNS-ominaisuuksiin. Toki osoitteet näkee kirjautumalla modeemin hallintaan, mutta aika pöhköä.

[nm]

@LeHiX, kun ajat nslookup-komennon, saatko kotiverkon koneiden IP-osoitteet? Minä saan vain muualla Internetissä olevien koneiden osoitteita, en sisäverkon koneiden osoitteita. Näin on minusta ollut ihan alusta asti. Kun yritin kysyä DNA:n tuesta onko näin tarkoituskin olla, sieltä sanottiin että resetoi laite eikä otettu kantaa DNS-ominaisuuksiin. Toki osoitteet näkee kirjautumalla modeemin hallintaan, mutta aika pöhköä.

nslookup kysyy osoitteita nimipalvelimelta. Normaalisti se on palveluntarjoajan verkossa oleva palvelin, joka palauttaa internet-nimiä. Reitittimessä voi olla DNS-välimuisti, mutta se ei oleellisesti muuta nimipalvelun toimintaa. Komento toimi sinulla siis juuri niin kuin pitääkin.

Jos haluaisit saada sisäverkon osoitteita koneen nimellä hakemalla, sinun pitäisi pystyttää oma nimipalvelu jollekin jatkuvasti käynnissä olevalle koneelle. Sen olisi hyvä hoitaa myös DHCP-palvelimen roolia. Kotiverkossa tähän tarkoitukseen sopivin ohjelmisto on dnsmasq, joka on Ubuntussa nykyisin vakiona asennettuna, mutta ei ihan tuohon tarvittavaan rooliin konfiguroituna.

[AimoE]

Silloin kun modeemi oli siltaava ja minulla oli erillinen reititin modeemi ja kotiverkon koneiden välissä, niin tämä reititin tarjosi DNS:n ja sen takia oletin että se toiminto aina kuuluu reitittimeen, myös modeemissa. Aina oppii uutta.

[LeHiX]

@LeHiX, kun ajat nslookup-komennon, saatko kotiverkon koneiden IP-osoitteet? Minä saan vain muualla Internetissä olevien koneiden osoitteita, en sisäverkon koneiden osoitteita. Näin on minusta ollut ihan alusta asti. Kun yritin kysyä DNA:n tuesta onko näin tarkoituskin olla, sieltä sanottiin että resetoi laite eikä otettu kantaa DNS-ominaisuuksiin. Toki osoitteet näkee kirjautumalla modeemin hallintaan, mutta aika pöhköä.

Minulla ei tällä hetkellä ole kotiverkkoa kun ei ole toista konettakaan aikaisemmin oli "vieraileva" windows-läppäri ja minulle oli yllätys että sain siihen tai se sain yhteyden ja kuvat saatiin kopioitus Ubuntun kautta ulkoiseen USB-levyyn, toki nopampikin tapa olisi ollut mutta läppärissä oli USB porteissa jotain häikkää, ehkä liian monta kertaa irroitettu kamera :/

[AimoE]

nm jo selvitti asian.

Minulla on kotona Ubuntu-kone ja Windows-kone, enkä ole edes ottanut Windowsin kotiverkkoa käyttöön, kun en sitä tarvitse; reititin säilyttää näiden koneiden IP-osoitteet ihan hyvin vaikkei niitä edes asettaisi reitittimessä staattisiksi. Silti aina joskus on tilanteita jolloin tarkistaisi jonkun koneen osoitteen mieluummin nslookupilla kuin kirjautumalla modeemi-reitittimen hallintasivulle.